Esecuzione: regola YARA per il mining di criptovalute

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

VM Threat Detection ha rilevato attività di mining di criptovalute abbinando pattern di memoria, come costanti di proof-of-work, noti per essere utilizzati dal software di mining di criptovalute.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato Execution: Cryptocurrency Mining YARA Rule come indicato in Esamina i risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:

     • Nome regola YARA: la regola attivata per i rilevatori YARA.
     • Programma binario: il percorso assoluto del processo.
     • Argomenti: gli argomenti forniti durante la chiamata del binario del processo.
     • Nomi dei processi: il nome dei processi in esecuzione nell'istanza VM associata alle corrispondenze di firma rilevate.

     VM Threat Detection è in grado di riconoscere le build del kernel delle principali distribuzioni Linux. Se riesce a riconoscere la build del kernel della VM interessata, può identificare i dettagli del processo dell'applicazione e compilare il campo processes del risultato. Se il rilevamento delle minacce per le VM non riesce a riconoscere il kernel, ad esempio se il kernel è creato su misura, il campo processes del risultato non viene compilato.

   • Risorsa interessata, in particolare i seguenti campi:

     • Nome completo della risorsa: il nome completo della risorsa dell'istanza VM interessata, incluso l'ID del progetto che la contiene.

   • Link correlati, in particolare i seguenti campi:

     • URI Cloud Logging: link alle voci di log.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.
     • Indicatore VirusTotal: link alla pagina di analisi di VirusTotal.

3. Per visualizzare il JSON completo di questo risultato, fai clic sulla scheda JSON nella visualizzazione dettagliata del risultato.

Passaggio 2: controlla i log

1. Nella console Google Cloud , vai a Esplora log.

   Vai a Esplora log

2. Nella barra degli strumenti della console Google Cloud , seleziona il progetto che contiene l'istanza VM, come specificato nella riga Nome completo risorsa della scheda Riepilogo dei dettagli del problema.

3. Controlla i log per rilevare segni di intrusione nell'istanza VM interessata. Ad esempio, controlla la presenza di attività sospette o sconosciute e segni di credenziali compromesse.

Passaggio 3: esamina le autorizzazioni e le impostazioni

1. Nella scheda Riepilogo dei dettagli del risultato, fai clic sul link nel campo Nome completo della risorsa.
2. Esamina i dettagli dell'istanza VM, incluse le impostazioni di rete e accesso.

Passaggio 4: ricerca di metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per Esecuzione.
2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Per facilitare il rilevamento e la rimozione, utilizza una soluzione di rilevamento e risposta degli endpoint.

1. Contatta il proprietario della VM.

2. Verifica se l'applicazione è un'applicazione di mining:

   • Se sono disponibili il nome del processo e il percorso binario dell'applicazione rilevata, considera i valori delle righe Binario programma, Argomenti e Nomi processi nella scheda Riepilogo dei dettagli del risultato durante l'indagine.

   • Esamina i processi in esecuzione, in particolare quelli con un utilizzo elevato della CPU, per verificare se ce ne sono alcuni che non riconosci. Determina se le applicazioni associate sono applicazioni di mining.

   • Cerca nei file dello spazio di archiviazione stringhe comuni utilizzate dalle applicazioni di mining, ad esempio btc.com, ethminer, xmrig, cpuminer e randomx. Per altri esempi di stringhe che puoi cercare, vedi Nomi di software e regole YARA e la documentazione correlata per ogni software elencato.

3. Se determini che l'applicazione è un'applicazione di mining e il relativo processo è ancora in esecuzione, termina il processo. Individua il binario eseguibile dell'applicazione nello spazio di archiviazione della VM ed eliminalo.

4. Se necessario, interrompi l'istanza compromessa e sostituiscila con una nuova.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.