Execução: regra YARA de mineração de criptomoedas

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A detecção de ameaças da VM detectou atividades de mineração de criptomoedas por meio da correspondência de padrões de memória, como constantes de prova de trabalho, conhecidos por serem usados por softwares de mineração de criptomoedas.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Execution: Cryptocurrency Mining YARA Rule, conforme direcionado em Verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:

     • Nome da regra de YARA: é a regra acionada para os detectores de YARA.
     • Binário do programa: o caminho absoluto do processo.
     • Argumentos: os argumentos fornecidos ao invocar o binário do processo.
     • Nomes de processo: o nome dos processos em execução na instância de VM associada à assinatura detectada.

     O VM Threat Detection é capaz de reconhecer builds de kernel das principais distribuições do Linux. Se ele reconhecer o build do kernel da VM afetada, poderá identificar os detalhes do processo do aplicativo e preencher o campo processes da descoberta. Se o VM Threat Detection não puder reconhecer o kernel, por exemplo, se o kernel for personalizado, o campo processes da descoberta não será preenchido.

   • Recurso afetado, especialmente os seguintes campos:

     • Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que o contém

   • Links relacionados, principalmente os seguintes campos:

     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
     • Indicador do VirusTotal: link para a página de análise do VirusTotal.

3. Para ver o JSON completo dessa descoberta, clique na guia JSON na visualização detalhada.

Etapa 2: verificar os registros

1. No console Google Cloud , acesse Análise de registros.

   Acessar o Explorador de registros

2. Na barra de ferramentas do console do Google Cloud , selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso na guia Resumo dos detalhes de descoberta.

3. Verifique nos registros se há sinais de invasão na instância da VM afetada. Por exemplo, verifique se há atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.

Etapa 3: verificar permissões e configurações

1. Na guia Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
2. Revise os detalhes da instância de VM, incluindo as configurações de rede e acesso.

Etapa 4: pesquisar métodos de ataque e resposta

1. Revise as entradas de framework do MITRE ATT&CK para Execução.
2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.

1. Entre em contato com o proprietário da VM.

2. Confirme se o aplicativo é de mineração:

   • Se o nome do processo e o caminho binário do aplicativo detectado estiverem disponíveis, considere os valores nas linhas Binário do programa, Argumentos e Nomes de processo na guia Resumo dos detalhes da descoberta na sua investigação.

   • Examine os processos em execução, especialmente aqueles com alto uso de CPU, para ver se há algum que você não reconhece. Determine se os aplicativos associados são de mineração.

   • Pesquise os arquivos no armazenamento em busca de strings comuns que os aplicativos de mineração usam, como btc.com, ethminer, xmrig, cpuminer e randomx. Para mais exemplos de strings que podem ser pesquisadas, consulte Nomes de software e regras YARA e a documentação relacionada para cada software listado.

3. Se você determinar que o aplicativo é de mineração e o processo ainda está em execução, encerre o processo. Localize o binário executável do aplicativo no armazenamento da VM e exclua-o.

4. Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.