Halaman ini menjelaskan cara melihat dan mengelola temuan VM Threat Detection. Bagian ini juga menunjukkan cara mengaktifkan atau menonaktifkan layanan dan modulnya.
Ringkasan
Virtual Machine Threat Detection adalah layanan bawaan Security Command Center yang tersedia di paket Enterprise dan Premium. Layanan ini memindai virtual machine untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan mata uang kripto, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang terkompromi.
Deteksi Ancaman VM adalah bagian dari rangkaian deteksi ancaman Security Command Center dan dirancang untuk melengkapi kemampuan yang ada pada Deteksi Ancaman Peristiwa dan Deteksi Ancaman Container.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan VM Threat Detection.
Biaya
Setelah Anda mendaftar ke Security Command Center Premium, tidak ada biaya tambahan untuk menggunakan Deteksi Ancaman VM.
Sebelum memulai
Untuk mendapatkan izin yang diperlukan
guna mengelola layanan Virtual Machine Threat Detection dan modulnya,
minta administrator untuk memberi Anda
peran IAM Security Center Management Admin (roles/securitycentermanagement.admin)
di organisasi, folder, atau project.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Menguji VM Threat Detection
Untuk menguji deteksi penambangan mata uang kripto Deteksi Ancaman VM, Anda dapat menjalankan aplikasi penambangan mata uang kripto di VM Anda. Untuk mengetahui daftar nama biner dan aturan YARA yang memicu temuan, lihat Nama software dan aturan YARA. Jika Anda menginstal dan menguji aplikasi penambangan, sebaiknya jalankan aplikasi hanya di lingkungan pengujian yang terisolasi, pantau penggunaannya dengan cermat, dan hapus sepenuhnya setelah pengujian.
Untuk menguji deteksi malware Deteksi Ancaman VM, Anda dapat mendownload aplikasi malware di VM Anda. Jika Anda mendownload malware, sebaiknya lakukan di lingkungan pengujian yang terisolasi, dan hapus sepenuhnya setelah pengujian.
Meninjau temuan di konsol Google Cloud
Untuk meninjau temuan VM Threat Detection di konsol Google Cloud , lakukan langkah-langkah berikut:
- Di konsol Google Cloud , buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Virtual Machine Threat Detection. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Untuk mengetahui informasi yang lebih mendetail tentang cara merespons setiap temuan Deteksi Ancaman VM, lihat Respons Deteksi Ancaman VM.
Untuk daftar temuan VM Threat Detection, lihat Temuan.
Keparahan
Temuan VM Threat Detection diberi tingkat keparahan Tinggi, Sedang, dan Rendah berdasarkan keyakinan klasifikasi ancaman.
Deteksi gabungan
Deteksi gabungan terjadi saat beberapa kategori temuan terdeteksi dalam sehari. Temuan ini dapat disebabkan oleh satu atau beberapa aplikasi berbahaya.
Misalnya, satu aplikasi dapat secara bersamaan memicu temuan Execution: Cryptocurrency Mining YARA Rule dan Execution: Cryptocurrency
Mining Hash Match. Namun, semua ancaman yang terdeteksi dari satu sumber dalam hari yang sama digabungkan menjadi satu temuan deteksi gabungan. Pada hari-hari berikutnya, jika lebih banyak ancaman ditemukan, bahkan ancaman yang sama, ancaman tersebut akan dilampirkan ke temuan baru.
Untuk melihat contoh temuan deteksi gabungan, lihat Contoh format temuan.
Contoh format penemuan
Bagian ini memberikan contoh output JSON untuk temuan VM Threat Detection. Anda akan melihat output ini saat mengekspor temuan menggunakan Google Cloud konsol atau mencantumkan temuan menggunakan Security Command Center API atau Google Cloud CLI.
Contoh di halaman ini menunjukkan berbagai jenis temuan. Setiap contoh hanya menyertakan kolom yang paling relevan dengan jenis temuan tersebut.
Untuk mengetahui daftar lengkap kolom yang tersedia dalam
temuan, lihat dokumentasi API Security Command Center untuk resource
Finding.
Anda dapat mengekspor temuan melalui konsol Security Command Center atau mencantumkan temuan melalui Security Command Center API.
Untuk melihat contoh temuan, luaskan satu atau beberapa node berikut. Untuk
informasi tentang setiap kolom dalam temuan, lihat
Finding.
Defense Evasion: Rootkit
Contoh output ini menunjukkan temuan rootkit mode kernel yang diketahui: Diamorphine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
Contoh output ini menunjukkan ancaman yang terdeteksi oleh modul
CRYPTOMINING_HASH dan CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Mengubah status temuan
Saat Anda menyelesaikan ancaman yang diidentifikasi oleh VM Threat Detection, layanan tidak akan otomatis menyetel status temuan ke Tidak Aktif dalam pemindaian berikutnya. Karena sifat domain ancaman kami, Deteksi Ancaman VM tidak dapat menentukan apakah ancaman telah diatasi atau telah berubah untuk menghindari deteksi.
Setelah tim keamanan Anda yakin bahwa ancaman telah diatasi, mereka dapat melakukan langkah-langkah berikut untuk mengubah status temuan menjadi tidak aktif.
Buka halaman Temuan Security Command Center di konsol Google Cloud .
Di samping Lihat menurut, klik Jenis Sumber.
Dalam daftar Source type, pilih Virtual Machine Threat Detection. Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.
Centang kotak di samping temuan yang telah diselesaikan.
Klik Ubah Status Aktif.
Klik Tidak aktif.
Mengaktifkan atau menonaktifkan VM Threat Detection untuk Google Cloud
Bagian ini menjelaskan cara mengaktifkan atau menonaktifkan Deteksi Ancaman VM untuk VM Compute Engine. Untuk mengaktifkan Deteksi Ancaman VM untuk VM AWS, lihat Mengaktifkan Deteksi Ancaman VM untuk AWS.
Deteksi Ancaman VM diaktifkan secara default untuk semua pelanggan yang mendaftar ke Security Command Center Premium setelah 15 Juli 2022, yaitu saat layanan ini tersedia secara umum. Jika perlu, Anda dapat menonaktifkan atau mengaktifkan ulang secara manual untuk project atau organisasi Anda.
Jika Anda mengaktifkan VM Threat Detection di organisasi atau project, layanan akan otomatis memindai semua resource yang didukung di organisasi atau project tersebut. Sebaliknya, jika Anda menonaktifkan Deteksi Ancaman VM di organisasi atau project, layanan akan berhenti memindai semua resource yang didukung di dalamnya.
Untuk mengaktifkan atau menonaktifkan Deteksi Ancaman VM, lakukan hal berikut:
Konsol
Di konsol Google Cloud , buka halaman Virtual Machine Threat Detection Service Enablement.
Pilih organisasi atau project Anda.
Di tab Pengaktifan Layanan, di kolom Deteksi Ancaman Mesin Virtual, pilih status pengaktifan organisasi, folder, atau project yang ingin Anda ubah, lalu pilih salah satu opsi berikut:
- Aktifkan: mengaktifkan VM Threat Detection
- Nonaktifkan: menonaktifkan VM Threat Detection
- Mewarisi: mewarisi status pengaktifan dari folder atau organisasi induk; hanya tersedia untuk project dan folder
gcloud
Perintah
gcloud scc manage services update
memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organization,folder, atauproject) -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diupdate; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
NEW_STATE:ENABLEDuntuk mengaktifkan Deteksi Ancaman VM;DISABLEDuntuk menonaktifkan Deteksi Ancaman VM; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Jalankan perintah
gcloud scc manage services update:
Linux, macOS, atau Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Metode
RESOURCE_TYPE.locations.securityCenterServices.patch
Security Command Center Management API memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organizations,folders, atauprojects) -
QUOTA_PROJECT: ID project yang akan digunakan untuk penagihan dan pelacakan kuota -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diupdate; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
NEW_STATE:ENABLEDuntuk mengaktifkan Deteksi Ancaman VM;DISABLEDuntuk menonaktifkan Deteksi Ancaman VM; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Metode HTTP dan URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
Meminta isi JSON:
{
"intendedEnablementState": "NEW_STATE"
}
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Mengaktifkan atau menonaktifkan modul VM Threat Detection
Untuk mengaktifkan atau menonaktifkan detektor Deteksi Ancaman VM individual, yang juga dikenal sebagai modul, lakukan langkah berikut. Diperlukan waktu hingga satu jam agar perubahan dapat diterapkan.
Untuk mengetahui informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang membuatnya, lihat Temuan ancaman.
Konsol
Konsol Google Cloud memungkinkan Anda mengaktifkan atau menonaktifkan modul VM Threat Detection di tingkat organisasi. Untuk mengaktifkan atau menonaktifkan modul Deteksi Ancaman VM di tingkat folder atau project, gunakan gcloud CLI atau REST API.
Di konsol Google Cloud , buka halaman Virtual Machine Threat Detection Modules.
Klik tab untuk penyedia cloud yang ingin Anda aktifkan atau nonaktifkan modulnya—misalnya, Google Cloud.
Di tab Modules, di kolom Status, pilih status saat ini modul yang ingin Anda aktifkan atau nonaktifkan, lalu pilih salah satu berikut:
- Aktifkan: Aktifkan modul.
- Nonaktifkan: Nonaktifkan modul.
gcloud
Perintah
gcloud scc manage services update
memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organization,folder, atauproject) -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diupdate; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
MODULE_NAME: nama modul yang akan diaktifkan atau dinonaktifkan; untuk nilai yang valid, lihat Temuan ancaman -
NEW_STATE:ENABLEDuntuk mengaktifkan modul;DISABLEDuntuk menonaktifkan modul; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Simpan konten berikut ini dalam file yang bernama request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Jalankan perintah
gcloud scc manage services update:
Linux, macOS, atau Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Metode
RESOURCE_TYPE.locations.securityCenterServices.patch
Security Command Center Management API memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organizations,folders, atauprojects) -
QUOTA_PROJECT: ID project yang akan digunakan untuk penagihan dan pelacakan kuota -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diupdate; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
MODULE_NAME: nama modul yang akan diaktifkan atau dinonaktifkan; untuk nilai yang valid, lihat Temuan ancaman -
NEW_STATE:ENABLEDuntuk mengaktifkan modul;DISABLEDuntuk menonaktifkan modul; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Metode HTTP dan URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
Meminta isi JSON:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Melihat setelan modul VM Threat Detection
Untuk mengetahui informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang membuatnya, lihat tabel Temuan ancaman.
Konsol
Konsol Google Cloud memungkinkan Anda melihat setelan untuk modul VM Threat Detection di tingkat organisasi. Untuk melihat setelan modul Deteksi Ancaman VM di tingkat folder atau project, gunakan gcloud CLI atau REST API.
Untuk melihat setelan di konsol Google Cloud , buka halaman Virtual Machine Threat Detection Modules.
gcloud
Perintah
gcloud scc manage services describe
mendapatkan status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan didapatkan (organization,folder, atauproject) -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan didapatkan; untuk project, Anda juga dapat menggunakan project ID alfanumerik
Jalankan perintah
gcloud scc manage services describe:
Linux, macOS, atau Cloud Shell
gcloud scc manage services describe vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services describe vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services describe vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Metode
RESOURCE_TYPE.locations.securityCenterServices.get
Security Command Center Management API mendapatkan status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan didapatkan (organizations,folders, atauprojects) -
QUOTA_PROJECT: ID project yang akan digunakan untuk penagihan dan pelacakan kuota -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan didapatkan; untuk project, Anda juga dapat menggunakan project ID alfanumerik
Metode HTTP dan URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Nama software dan aturan YARA untuk deteksi penambangan mata uang kripto
Daftar berikut mencakup nama biner dan aturan YARA yang memicu temuan penambangan mata uang kripto. Untuk melihat daftar, luaskan node.
Execution: Cryptocurrency Mining Hash Match
- Penambang CPU Arionum: software penambangan untuk mata uang kripto Arionum
- Avermore: software penambangan untuk mata uang kripto berbasis scrypt
- Penambang CUDA Beam: software penambangan untuk mata uang kripto berbasis Equihash
- Penambang Beam OpenCL: software penambangan untuk mata uang kripto berbasis Equihash
- BFGMiner: Software penambangan berbasis ASIC/FPGA untuk Bitcoin
- BMiner: software penambangan untuk berbagai mata uang kripto
- Cast XMR: software penambangan untuk mata uang kripto berbasis CryptoNight
- ccminer: Software penambangan berbasis CUDA
- cgminer: Software penambangan berbasis ASIC/FPGA untuk Bitcoin
- Claymore's miner: Software penambangan berbasis GPU untuk berbagai mata uang kripto
- CPUMiner: keluarga software penambangan berbasis CPU
- CryptoDredge: keluarga software penambangan untuk CryptoDredge
- CryptoGoblin: software penambangan untuk mata uang kripto berbasis CryptoNight
- DamoMiner: Software mining berbasis GPU untuk Ethereum dan kripto lainnya
- DigitsMiner: software penambangan untuk Digits
- EasyMiner: software penambangan untuk Bitcoin dan mata uang kripto lainnya
- Ethminer: software penambangan untuk Ethereum dan mata uang kripto lainnya
- EWBF: software penambangan untuk mata uang kripto berbasis Equihash
- FinMiner: software penambangan untuk mata uang kripto berbasis Ethash dan CryptoNight
- Funakoshi Miner: software penambangan untuk mata uang kripto Bitcoin-Gold
- Geth: software mining untuk Ethereum
- GMiner: software penambangan untuk berbagai mata uang kripto
- gominer: software penambangan untuk Decred
- GrinGoldMiner: software penambangan untuk Grin
- Hush: software penambangan untuk mata uang kripto berbasis Zcash
- IxiMiner: software penambangan untuk Ixian
- kawpowminer: software penambangan untuk Ravencoin
- Komodo: keluarga software penambangan untuk Komodo
- lolMiner: software penambangan untuk berbagai mata uang kripto
- lukMiner: software penambangan untuk berbagai mata uang kripto
- MinerGate: software penambangan untuk berbagai mata uang kripto
- miniZ: software penambangan untuk mata uang kripto berbasis Equihash
- Mirai: malware yang dapat digunakan untuk menambang mata uang kripto
- MultiMiner: software penambangan untuk berbagai mata uang kripto
- nanominer: software penambangan untuk berbagai mata uang kripto
- NBMiner: software penambangan untuk berbagai mata uang kripto
- Nevermore: software penambangan untuk berbagai mata uang kripto
- nheqminer: software penambangan untuk NiceHash
- NinjaRig: software penambangan untuk mata uang kripto berbasis Argon2
- NodeCore PoW CUDA Miner: software penambangan untuk VeriBlock
- NoncerPro: software penambangan untuk Nimiq
- Optiminer/Equihash: software penambangan untuk mata uang kripto berbasis Equihash
- PascalCoin: keluarga software penambangan untuk PascalCoin
- PhoenixMiner: software penambangan untuk Ethereum
- Pooler CPU Miner: software penambangan untuk Litecoin dan Bitcoin
- ProgPoW Miner: software penambangan untuk Ethereum dan mata uang kripto lainnya
- rhminer: software penambangan untuk PascalCoin
- sgminer: software penambangan untuk mata uang kripto berbasis scrypt
- simplecoin: keluarga software penambangan untuk berbasis scrypt SimpleCoin
- Skypool Nimiq Miner: software penambangan untuk Nimiq
- SwapReferenceMiner: software penambangan untuk Grin
- Team Red Miner: Software penambangan berbasis AMD untuk berbagai mata uang kripto
- T-Rex: software penambangan untuk berbagai mata uang kripto
- TT-Miner: software penambangan untuk berbagai mata uang kripto
- Ubqminer: software penambangan untuk mata uang kripto berbasis Ubqhash
- VersusCoin: software penambangan untuk VersusCoin
- violetminer: software penambangan untuk mata uang kripto berbasis Argon2
- webchain-miner: software penambangan untuk MintMe
- WildRig: software penambangan untuk berbagai mata uang kripto
- XCASH_ALL_Miner: software mining untuk XCASH
- xFash: software penambangan untuk MinerGate
- XLArig: software penambangan untuk mata uang kripto berbasis CryptoNight
- XMRig: software penambangan untuk berbagai mata uang kripto
- Xmr-Stak: software penambangan untuk mata uang kripto berbasis CryptoNight
- XMR-Stak TurtleCoin: software penambangan untuk mata uang kripto berbasis CryptoNight
- Xtl-Stak: software penambangan untuk mata uang kripto berbasis CryptoNight
- Yam Miner: software penambangan untuk MinerGate
- YCash: software penambangan untuk YCash
- ZCoin: software penambangan untuk ZCoin/Fire
- Zealot/Enemy: software penambangan untuk berbagai mata uang kripto
- Sinyal penambang mata uang kripto1
1 Nama ancaman generik ini menunjukkan bahwa penambang mata uang kripto yang tidak dikenal mungkin beroperasi di VM, tetapi Deteksi Ancaman VM tidak memiliki informasi spesifik tentang penambang tersebut.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: cocok dengan software penambangan untuk Monero
- YARA_RULE9: cocok dengan software penambangan yang menggunakan cipher Blake2 dan AES
- YARA_RULE10: cocok dengan software penambangan yang menggunakan CryptoNight rutin proof-of-work
- YARA_RULE15: cocok dengan software penambangan untuk NBMiner
- YARA_RULE17: mencocokkan software penambangan yang menggunakan rutin proof-of-work Scrypt
- YARA_RULE18: cocok dengan software penambangan yang menggunakan rutin proof-of-work Scrypt
- YARA_RULE19: cocok dengan software penambangan untuk BFGMiner
- YARA_RULE24: cocok dengan software penambangan untuk XMR-Stak
- YARA_RULE25: cocok dengan software penambangan untuk XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: cocok dengan software penambangan untuk BFGMiner
Langkah berikutnya
- Pelajari lebih lanjut Deteksi Ancaman VM.
- Pelajari cara mengizinkan Deteksi Ancaman VM memindai VM di perimeter Kontrol Layanan VPC.
- Pelajari cara mengaktifkan Deteksi Ancaman VM untuk AWS.
- Pelajari cara menyelidiki temuan Deteksi Ancaman VM.