Esta página foi traduzida pela API Cloud Translation.

Execução: correspondência de hash de mineração de criptomoedas

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

A Deteção de ameaças de VMs detetou atividades de mineração de criptomoedas através da correspondência de hashes de memória de programas em execução com hashes de memória de software de mineração de criptomoedas conhecido.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

Abra uma descoberta Execution: Cryptocurrency Mining Hash Match, conforme indicado em Reveja as descobertas. O painel de detalhes da deteção é aberto no separador Resumo.
No separador Resumo, reveja as informações nas seguintes secções:
- O que foi detetado, especialmente os seguintes campos:
  - Família binária: a aplicação de criptomoeda que foi detetada.
  - Binário do programa: o caminho absoluto do processo.
  - Argumentos: os argumentos fornecidos quando invoca o ficheiro binário do processo.
  - Nomes dos processos: o nome do processo em execução na instância de VM que está associado às correspondências de assinatura detetadas.
  A Deteção de ameaças de MV pode reconhecer compilações de kernel das principais distribuições do Linux. Se conseguir reconhecer a compilação do kernel da VM afetada, pode identificar os detalhes do processo da aplicação e preencher o campo processes da deteção. Se a Deteção de ameaças de MV não conseguir reconhecer o kernel, por exemplo, se o kernel for criado de forma personalizada, o campo processes da descoberta não é preenchido.
- Recurso afetado, especialmente os seguintes campos:
  - Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que a contém.
Para ver o JSON completo desta descoberta, na vista de detalhes da descoberta, clique no separador JSON.
- indicator
  - signatures:
    - memory_hash_signature: uma assinatura correspondente aos hashes das páginas de memória.
    - detections
      - binary: o nome do ficheiro binário da aplicação de criptomoedas, por exemplo, linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0.
      - percent_pages_matched: a percentagem de páginas na memória que correspondem a páginas em aplicações de criptomoedas conhecidas na base de dados de hash de páginas.

Passo 2: verifique os registos

Na Google Cloud consola, aceda ao Explorador de registos.

Aceda ao Explorador de registos
Na Google Cloud barra de ferramentas da consola, selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso no separador Resumo dos detalhes da deteção.
Verifique os registos para ver se existem sinais de intrusão na instância de VM afetada. Por exemplo, verifique se existem atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.

Passo 3: reveja as autorizações e as definições

No separador Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
Reveja os detalhes da instância de VM, incluindo as definições de rede e de acesso.

Passo 4: pesquise métodos de ataque e resposta

Reveja as entradas da framework MITRE ATT&CK para Execução.
Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

Para ajudar na deteção e remoção, use uma solução de deteção e resposta de pontos finais.

Contacte o proprietário da VM.
Confirme se a aplicação é uma aplicação de mineração:
- Se o nome do processo e o caminho binário da aplicação detetada estiverem disponíveis, considere os valores nas linhas Binário do programa, Argumentos e Nomes dos processos no separador Resumo dos detalhes da descoberta na sua investigação.
- Se os detalhes do processo não estiverem disponíveis, verifique se o nome binário da assinatura de hash da memória pode fornecer pistas. Considere um ficheiro binário denominado linux-x86-64_xmrig_2.14.1. Pode usar o comando grep para pesquisar ficheiros notáveis no armazenamento. Use uma parte significativa do nome binário no padrão de pesquisa, neste caso, xmrig. Examine os resultados da pesquisa.
- Examine os processos em execução, especialmente os processos com elevada utilização da CPU, para ver se existem processos que não reconhece. Determine se as aplicações associadas são aplicações de mineração.
- Pesquise nos ficheiros de armazenamento strings comuns que as aplicações de mineração usam, como btc.com, ethminer, xmrig, cpuminer e randomx. Para ver mais exemplos de strings que pode pesquisar, consulte Nomes de software e regras YARA e a documentação relacionada para cada software apresentado.
Se determinar que a aplicação é uma aplicação de mineração e o respetivo processo ainda estiver em execução, termine o processo. Localize o ficheiro binário executável da aplicação no armazenamento da VM e elimine-o.
Se necessário, pare a instância comprometida e substitua-a por uma nova instância.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.