Execução: regra YARA de mineração de criptomoedas

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

A Deteção de ameaças de VMs detetou atividades de mineração de criptomoedas através da correspondência de padrões de memória, como constantes de prova de trabalho, que se sabe serem usados por software de mineração de criptomoedas.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma deteção Execution: Cryptocurrency Mining YARA Rule, conforme indicado em Reveja as deteções. O painel de detalhes da deteção é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:

     • Nome da regra YARA: a regra acionada para detetores YARA.
     • Binário do programa: o caminho absoluto do processo.
     • Argumentos: os argumentos fornecidos quando invoca o ficheiro binário do processo.
     • Nomes dos processos: o nome dos processos em execução na instância de VM associada às correspondências de assinaturas detetadas.

     A Deteção de ameaças de MV pode reconhecer compilações de kernel das principais distribuições do Linux. Se conseguir reconhecer a compilação do kernel da VM afetada, pode identificar os detalhes do processo da aplicação e preencher o campo processes da deteção. Se a Deteção de ameaças de MV não conseguir reconhecer o kernel, por exemplo, se o kernel for criado de forma personalizada, o campo processes da descoberta não é preenchido.

   • Recurso afetado, especialmente os seguintes campos:

     • Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que a contém.

   • Links relacionados, especialmente os seguintes campos:

     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.
     • Indicador do VirusTotal: link para a página de análise do VirusTotal.

3. Para ver o JSON completo desta descoberta, na vista de detalhes da descoberta, clique no separador JSON.

Passo 2: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos.

   Aceda ao Explorador de registos

2. Na Google Cloud barra de ferramentas da consola, selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso no separador Resumo dos detalhes da deteção.

3. Verifique os registos para ver se existem sinais de intrusão na instância de VM afetada. Por exemplo, verifique se existem atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.

Passo 3: reveja as autorizações e as definições

1. No separador Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
2. Reveja os detalhes da instância de VM, incluindo as definições de rede e de acesso.

Passo 4: pesquise métodos de ataque e resposta

1. Reveja as entradas da framework MITRE ATT&CK para Execução.
2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

Para ajudar na deteção e remoção, use uma solução de deteção e resposta de pontos finais.

1. Contacte o proprietário da VM.

2. Confirme se a aplicação é uma aplicação de mineração:

   • Se o nome do processo e o caminho binário da aplicação detetada estiverem disponíveis, considere os valores nas linhas Binário do programa, Argumentos e Nomes dos processos no separador Resumo dos detalhes da descoberta na sua investigação.

   • Examine os processos em execução, especialmente os processos com elevada utilização da CPU, para ver se existem processos que não reconhece. Determine se as aplicações associadas são aplicações de mineração.

   • Pesquise nos ficheiros de armazenamento strings comuns que as aplicações de mineração usam, como btc.com, ethminer, xmrig, cpuminer e randomx. Para ver mais exemplos de strings que pode pesquisar, consulte Nomes de software e regras YARA e a documentação relacionada para cada software apresentado.

3. Se determinar que a aplicação é uma aplicação de mineração e o respetivo processo ainda estiver em execução, termine o processo. Localize o ficheiro binário executável da aplicação no armazenamento da VM e elimine-o.

4. Se necessário, pare a instância comprometida e substitua-a por uma nova instância.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.