בדף הזה מוסבר איך לצפות בממצאים של זיהוי איומים במכונות וירטואליות ואיך לנהל אותם. במאמר מוסבר גם איך להפעיל או להשבית את השירות והמודולים שלו.
סקירה כללית
זיהוי איומים במכונות וירטואליות הוא שירות מובנה של Security Command Center. השירות הזה סורק מכונות וירטואליות כדי לזהות אפליקציות זדוניות פוטנציאליות, כמו תוכנות לכריית מטבעות קריפטוגרפיים, ערכות כלים לרוט במצב ליבה ותוכנות זדוניות שפועלות בסביבות ענן שנפרצו.
התכונה 'זיהוי איומים במכונות וירטואליות' היא חלק מחבילת התכונות לזיהוי איומים ב-Security Command Center, והיא נועדה להשלים את היכולות הקיימות של Event Threat Detection ושל זיהוי איומים בקונטיינר.
מידע נוסף זמין במאמר סקירה כללית על זיהוי איומים במכונות וירטואליות.
לפני שמתחילים
כדי לקבל את ההרשאות שדרושות לניהול השירות זיהוי איומים במכונות וירטואליות והמודולים שלו, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Security Center Management Admin (roles/securitycentermanagement.admin) בארגון, בתיקייה או בפרויקט.
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
בדיקה של זיהוי איומים במכונות וירטואליות
כדי לבדוק את זיהוי כריית המטבעות הווירטואליים ב-VM, אפשר להריץ אפליקציה לכריית מטבעות וירטואליים ב-VM. רשימה של שמות בינאריים וכללי YARA שמפעילים ממצאים זמינה במאמר שמות של תוכנות וכללי YARA. אם מתקינים ובודקים אפליקציות לכריית מטבעות קריפטוגרפיים, מומלץ להפעיל את האפליקציות רק בסביבת בדיקה מבודדת, לעקוב מקרוב אחרי השימוש בהן ולהסיר אותן לחלוטין אחרי הבדיקה.
כדי לבדוק את זיהוי התוכנות הזדוניות ב-VM Threat Detection, אתם יכולים להוריד אפליקציות של תוכנות זדוניות במכונה הווירטואלית. אם אתם מורידים תוכנות זדוניות, מומלץ לעשות זאת בסביבת בדיקה מבודדת, ולהסיר אותן לחלוטין אחרי הבדיקה.
בדיקת הממצאים במסוף Google Cloud
כדי לבדוק את הממצאים של VM Threat Detection במסוף Google Cloud :
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות זיהוי איומים במכונות וירטואליות. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
כדי לקבל מידע על תגובה לממצא ספציפי של VM Threat Detection, מחפשים את הממצא באינדקס של ממצאי האיומים.
המלצות כלליות לתגובה מפורטות במאמר בנושא תגובה לממצאי איומים ב-Compute Engine.
רשימה של ממצאים של זיהוי איומים במכונות וירטואליות זמינה במאמר בנושא ממצאים.
חוּמרה
לממצאים של VM Threat Detection מוקצות רמות חומרה של גבוהה, בינונית ונמוכה, בהתאם לרמת הסמך של סיווג האיום.
זיהויים משולבים
זיהוי משולב מתרחש כשמזוהות כמה קטגוריות של ממצאים במהלך יום אחד. הממצאים יכולים להיות תוצאה של אפליקציה זדונית אחת או יותר.
לדוגמה, אפליקציה אחת יכולה להפעיל בו-זמנית ממצאים מסוג Execution: Cryptocurrency Mining YARA Rule וממצאים מסוג Execution: Cryptocurrency
Mining Hash Match. עם זאת, כל האיומים שזוהו ממקור יחיד באותו יום נכללים בממצא אחד של זיהוי משולב. בימים הבאים, אם יימצאו עוד איומים, גם אם הם אותם איומים, הם יצורפו לממצאים חדשים.
דוגמה לממצא משולב של זיהוי מופיעה במאמר דוגמאות לפורמטים של ממצאים.
דוגמאות לפורמטים של ממצאים
בקטע הזה מופיעות דוגמאות לפלט JSON של ממצאים מ'זיהוי איומים במכונות וירטואליות'. הפלט הזה מוצג כשמייצאים ממצאים באמצעותGoogle Cloud המסוף או כשמציגים רשימה של ממצאים באמצעות Security Command Center API או Google Cloud CLI.
בדף הזה מופיעות דוגמאות לסוגים שונים של ממצאים. כל דוגמה כוללת רק את השדות שהכי רלוונטיים לסוג הממצאים הזה.
רשימה מלאה של השדות שזמינים בממצא, מופיעה במסמכי העזרה של ה-API בנושא Security Command Center, במאמר על המשאב Finding.
אפשר לייצא תוצאות דרך מסוף Security Command Center או לרשום תוצאות דרך Security Command Center API.
כדי לראות את הממצאים לדוגמה, מרחיבים צומת אחד או יותר מהצמתים הבאים. למידע על כל שדה בממצא, אפשר לעיין במאמר Finding.
Defense Evasion: Rootkit
בדוגמה הזו של פלט מוצגת ממצא של רוטקיט ידוע במצב ליבה: Diamorphine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
בדוגמה הזו של פלט מוצגת תקיפה שזוהתה על ידי המודולים CRYPTOMINING_HASH ו-CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
שינוי המצב של הממצאים
כשמטפלים באיומים שזוהו על ידי זיהוי איומים במכונות וירטואליות, השירות לא מגדיר אוטומטית את מצב הממצא כלא פעיל בסריקות הבאות. בגלל האופי של תחום האיומים שלנו, התכונה 'זיהוי איומים במכונות וירטואליות' לא יכולה לקבוע אם איום נוטרל או השתנה כדי להימנע מזיהוי.
אחרי שצוותי האבטחה שלכם יגיעו למסקנה שהאיום נוטרל, הם יוכלו לבצע את השלבים הבאים כדי לשנות את מצב הממצאים ל'לא פעיל'.
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
לצד תצוגה לפי, לוחצים על סוג מקור.
ברשימה סוג המקור, בוחרים באפשרות זיהוי איומים במכונה וירטואלית. טבלה תתמלא בממצאים לגבי סוג המקור שבחרתם.
מסמנים את התיבה לצד הממצאים שנפתרו.
לוחצים על שינוי הסטטוס הפעיל.
לוחצים על לא פעיל.
הפעלה או השבתה של זיהוי איומים במכונות וירטואליות ב- Google Cloud
בקטע הזה מוסבר איך להפעיל או להשבית את התכונה 'זיהוי איומים במכונות וירטואליות' במכונות וירטואליות של Compute Engine. כדי להפעיל את התכונה 'זיהוי איומים במכונות וירטואליות' במכונות וירטואליות ב-AWS, אפשר לעיין במאמר הפעלת התכונה 'זיהוי איומים במכונות וירטואליות' ב-AWS.
התכונה VM Threat Detection מופעלת כברירת מחדל לכל הלקוחות שנרשמים ל-Security Command Center Premium אחרי 15 ביולי 2022, התאריך שבו השירות הזה הפך לזמין לכולם. במקרה הצורך, אפשר להשבית או להפעיל מחדש את התכונה באופן ידני בפרויקט או בארגון.
כשמפעילים את התכונה 'זיהוי איומים במכונות וירטואליות' בארגון או בפרויקט, השירות סורק באופן אוטומטי את כל המשאבים הנתמכים באותו ארגון או פרויקט. לעומת זאת, כשמשביתים את התכונה 'זיהוי איומים במכונות וירטואליות' בארגון או בפרויקט, השירות מפסיק לסרוק את כל המשאבים הנתמכים בארגון או בפרויקט.
כדי להפעיל או להשבית את זיהוי האיומים במכונה וירטואלית:
המסוף
במסוף Google Cloud , נכנסים לדף הפעלת שירות זיהוי איומים במכונות וירטואליות.
בוחרים את הארגון או הפרויקט.
בכרטיסייה Service Enablement (הפעלת שירות), בעמודה Virtual Machine Threat Detection (זיהוי איומים במכונה וירטואלית), בוחרים את סטטוס ההפעלה של הארגון, התיקייה או הפרויקט שרוצים לשנות, ואז בוחרים באחת מהאפשרויות הבאות:
- הפעלה: הפעלת זיהוי איומים במכונה וירטואלית
- השבתה: השבתה של זיהוי איומים במכונות וירטואליות
- ירושה: ירושה של סטטוס ההפעלה מתיקיית ההורה או מהארגון. האפשרות הזו זמינה רק לפרויקטים ולתיקיות.
gcloud
הפקודה
gcloud scc manage services update
מעדכנת את הסטטוס של שירות או מודול ב-Security Command Center.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב לעדכון (organization,folderאוproject) -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
NEW_STATE:ENABLEDכדי להפעיל את התכונה 'זיהוי איומים במכונות וירטואליות'; DISABLEDכדי להשבית את התכונה 'זיהוי איומים במכונות וירטואליות'; אוINHERITEDכדי להעביר בירושה את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)
מריצים את הפקודה gcloud scc manage services update:
Linux, macOS או Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
אמורים לקבל תגובה שדומה לזו:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
השיטה של Security Command Center Management API
RESOURCE_TYPE.locations.securityCenterServices.patch
מעדכנת את המצב של שירות או מודול של Security Command Center.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב לעדכון (organizations,foldersאוprojects) -
QUOTA_PROJECT: מזהה הפרויקט שישמש לחיוב ולמעקב אחר מכסות -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
NEW_STATE:ENABLEDכדי להפעיל את התכונה 'זיהוי איומים במכונות וירטואליות'; DISABLEDכדי להשבית את התכונה 'זיהוי איומים במכונות וירטואליות'; אוINHERITEDכדי להעביר בירושה את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)
ה-method של ה-HTTP וכתובת ה-URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
תוכן בקשת JSON:
{
"intendedEnablementState": "NEW_STATE"
}
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
הפעלה או השבתה של מודול לזיהוי איומים במכונה וירטואלית
כדי להפעיל או להשבית גלאי ספציפי של זיהוי איומים במכונה וירטואלית, שנקרא גם מודול, מבצעים את הפעולות הבאות. יכול להיות שיעברו עד שעה לפני שהשינויים ייכנסו לתוקף.
כשמשביתים שירות, כל המודולים שלו מפסיקים להיות פעילים, גם אם המודולים הופעלו בנפרד.
מידע על כל הממצאים בנושא איומים ב-VM Threat Detection ועל המודולים שמפיקים אותם זמין במאמר ממצאים בנושא איומים.
המסוף
במסוף Google Cloud אפשר להפעיל או להשבית מודולים של זיהוי איומים במכונות וירטואליות ברמת הארגון. כדי להפעיל או להשבית מודולים של זיהוי איומים ב-VM ברמת התיקייה או ברמת הפרויקט, צריך להשתמש ב-CLI של gcloud או ב-API בארכיטקטורת REST.
במסוף Google Cloud , נכנסים לדף מודולים של זיהוי איומים במכונות וירטואליות.
לוחצים על הכרטיסייה של ספק שירותי הענן שרוצים להפעיל או להשבית עבורו מודולים – למשל, Google Cloud.
בכרטיסייה Modules (מודולים), בעמודה Status (סטטוס), בוחרים את הסטטוס הנוכחי של המודול שרוצים להפעיל או להשבית, ואז בוחרים באחת מהאפשרויות הבאות:
- הפעלה: הפעלת המודול.
- השבתה: השבתת המודול.
gcloud
הפקודה
gcloud scc manage services update
מעדכנת את הסטטוס של שירות או מודול ב-Security Command Center.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב לעדכון (organization,folderאוproject) -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_NAME: השם של המודול שרוצים להפעיל או להשבית. ערכים קבילים מפורטים במאמר בנושא ממצאים בנושא איומים -
NEW_STATE:ENABLEDכדי להפעיל את המודול,DISABLEDכדי להשבית את המודול אוINHERITEDכדי להגדיר את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)
שומרים את התוכן הבא בקובץ בשם request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
מריצים את הפקודה gcloud scc manage services update:
Linux, macOS או Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --module-config-file=request.json
אמורים לקבל תגובה שדומה לזו:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
השיטה של Security Command Center Management API
RESOURCE_TYPE.locations.securityCenterServices.patch
מעדכנת את המצב של שירות או מודול של Security Command Center.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב לעדכון (organizations,foldersאוprojects) -
QUOTA_PROJECT: מזהה הפרויקט שישמש לחיוב ולמעקב אחר מכסות -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_NAME: השם של המודול שרוצים להפעיל או להשבית. ערכים קבילים מפורטים במאמר בנושא ממצאים בנושא איומים -
NEW_STATE:ENABLEDכדי להפעיל את המודול,DISABLEDכדי להשבית את המודול אוINHERITEDכדי להגדיר את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)
ה-method של ה-HTTP וכתובת ה-URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
תוכן בקשת JSON:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
הצגת ההגדרות של מודולי הזיהוי של איומים במכונה וירטואלית
מידע על כל הממצאים בנושא איומים במכונות וירטואליות ועל המודולים שמפיקים אותם מופיע בטבלה ממצאים בנושא איומים.
המסוף
Google Cloud במסוף אפשר לראות את ההגדרות של מודולים של זיהוי איומים במכונות וירטואליות ברמת הארגון. כדי לראות את ההגדרות של מודולים של זיהוי איומים במכונות וירטואליות ברמת התיקייה או הפרויקט, צריך להשתמש ב-CLI של gcloud או ב-API בארכיטקטורת REST.
כדי לראות את ההגדרות במסוף Google Cloud , נכנסים לדף Virtual Machine Threat Detection Modules.
gcloud
הפקודה
gcloud scc manage services describe
מחזירה את הסטטוס של שירות או מודול של Security Command Center.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organization,folderאוproject) -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
מריצים את הפקודה gcloud scc manage services describe:
Linux, macOS או Cloud Shell
gcloud scc manage services describe vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services describe vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services describe vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
ה-method RESOURCE_TYPE.locations.securityCenterServices.get של Security Command Center Management API מחזירה את הסטטוס של שירות או מודול של Security Command Center.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organizations,foldersאוprojects) -
QUOTA_PROJECT: מזהה הפרויקט שישמש לחיוב ולמעקב אחר מכסות -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
שמות של תוכנות וכללי YARA לזיהוי כריית מטבעות וירטואליים
הרשימות הבאות כוללות את השמות של קבצים בינאריים וכללי YARA שמפעילים ממצאים של כריית מטבעות וירטואליים. כדי לראות את הרשימות, מרחיבים את הצמתים.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: תוכנת כרייה של מטבע וירטואלי מסוג Arionum
- Avermore: תוכנת כרייה של מטבעות וירטואליים מבוססי scrypt
- Beam CUDA miner: תוכנת כרייה למטבעות וירטואליים מבוססי Equihash
- Beam OpenCL miner: תוכנת כרייה למטבעות וירטואליים מבוססי Equihash
- BFGMiner: תוכנת כרייה מבוססת ASIC/FPGA לביטקוין
- BMiner: תוכנה לכריית מגוון מטבעות וירטואליים
- Cast XMR: תוכנת כרייה לכריית מטבעות וירטואליים שמבוססים על CryptoNight
- ccminer: תוכנת כרייה מבוססת CUDA
- cgminer: תוכנת כרייה מבוססת ASIC/FPGA ל-Bitcoin
- Claymore's miner: תוכנת כרייה מבוססת GPU למטבעות וירטואליים שונים
- CPUMiner: משפחה של תוכנות כרייה מבוססות-מעבד (CPU)
- CryptoDredge: משפחה של תוכנות כרייה ל-CryptoDredge
- CryptoGoblin: תוכנת כרייה למטבעות וירטואליים שמבוססים על CryptoNight
- DamoMiner: תוכנת כרייה מבוססת-GPU לכריית אתריום ומטבעות וירטואליים אחרים
- DigitsMiner: תוכנת כרייה ל-Digits
- EasyMiner: תוכנה לכריית ביטקוין ומטבעות וירטואליים אחרים
- Ethminer: תוכנת כרייה ל-Ethereum ולמטבעות וירטואליים אחרים
- EWBF: תוכנת כרייה למטבעות וירטואליים שמבוססים על Equihash
- FinMiner: תוכנת כרייה למטבעות וירטואליים שמבוססים על Ethash ועל CryptoNight
- Funakoshi Miner: תוכנת כרייה של מטבעות וירטואליים מסוג Bitcoin-Gold
- Geth: תוכנת כרייה ל-Ethereum
- GMiner: תוכנה לכריית מגוון מטבעות וירטואליים
- gominer: תוכנת כרייה ל-Decred
- GrinGoldMiner: תוכנת כרייה ל-Grin
- Hush: תוכנת כרייה למטבעות וירטואליים שמבוססים על Zcash
- IxiMiner: תוכנת כרייה ל-Ixian
- kawpowminer: תוכנת כרייה ל-Ravencoin
- Komodo: משפחה של תוכנות כרייה ל-Komodo
- lolMiner: תוכנה לכריית מגוון מטבעות וירטואליים
- lukMiner: תוכנה לכריית מגוון מטבעות וירטואליים
- MinerGate: תוכנה לכריית מגוון מטבעות וירטואליים
- miniZ: תוכנה לכריית מטבעות וירטואליים שמבוססים על Equihash
- Mirai: תוכנה זדונית שאפשר להשתמש בה לכריית מטבעות וירטואליים
- MultiMiner: תוכנה לכריית מגוון מטבעות וירטואליים
- nanominer: תוכנה לכריית מגוון מטבעות וירטואליים
- NBMiner: תוכנה לכריית מגוון מטבעות וירטואליים
- Nevermore: תוכנה לכריית מגוון מטבעות וירטואליים
- nheqminer: תוכנת כרייה ל-NiceHash
- NinjaRig: תוכנת כרייה למטבעות וירטואליים שמבוססים על Argon2
- NodeCore PoW CUDA Miner: תוכנת כרייה ל-VeriBlock
- NoncerPro: תוכנת כרייה ל-Nimiq
- Optiminer/Equihash: תוכנת כרייה של מטבעות וירטואליים מבוססי Equihash
- PascalCoin: משפחה של תוכנות כרייה ל-PascalCoin
- PhoenixMiner: תוכנת כרייה ל-Ethereum
- Pooler CPU Miner: תוכנת כרייה ל-Litecoin ול-Bitcoin
- ProgPoW Miner: תוכנת כרייה לכריית אתריום ומטבעות וירטואליים אחרים
- rhminer: תוכנת כרייה ל-PascalCoin
- sgminer: תוכנת כרייה של מטבעות וירטואליים מבוססי-scrypt
- simplecoin: משפחה של תוכנות כרייה ל-SimpleCoin שמבוססות על scrypt
- Skypool Nimiq Miner: תוכנת כרייה ל-Nimiq
- SwapReferenceMiner: תוכנת כרייה ל-Grin
- Team Red Miner: תוכנת כרייה מבוססת-AMD למטבעות וירטואליים שונים
- T-Rex: תוכנה לכריית מגוון מטבעות וירטואליים
- TT-Miner: תוכנה לכריית מגוון מטבעות וירטואליים
- Ubqminer: תוכנה לכריית מטבעות וירטואליים שמבוססים על Ubqhash
- VersusCoin: תוכנת כרייה של VersusCoin
- violetminer: תוכנת כרייה של מטבעות וירטואליים שמבוססים על Argon2
- webchain-miner: תוכנת כרייה ל-MintMe
- WildRig: תוכנה לכריית מגוון מטבעות וירטואליים
- XCASH_ALL_Miner: תוכנת כרייה ל-XCASH
- xFash: תוכנת כרייה ל-MinerGate
- XLArig: תוכנת כרייה לכריית מטבעות וירטואליים שמבוססים על CryptoNight
- XMRig: תוכנה לכריית מגוון מטבעות וירטואליים
- Xmr-Stak: תוכנת כרייה לכריית מטבעות וירטואליים שמבוססים על CryptoNight
- XMR-Stak TurtleCoin: תוכנה לכריית מטבעות וירטואליים שמבוססים על CryptoNight
- Xtl-Stak: תוכנת כרייה לכריית מטבעות וירטואליים שמבוססים על CryptoNight
- Yam Miner: תוכנת כרייה ל-MinerGate
- YCash: תוכנת כרייה ל-YCash
- ZCoin: תוכנת כרייה ל-ZCoin/Fire
- Zealot/Enemy: תוכנת כרייה למטבעות וירטואליים שונים
- אות של כורה מטבעות וירטואליים1
1 שם האיום הגנרי הזה מציין שאולי כורה לא ידוע של מטבעות קריפטוגרפיים פועל במכונה הווירטואלית, אבל למערכת לזיהוי איומים במכונה הווירטואלית אין מידע ספציפי על הכורה.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: התאמה לתוכנת כרייה של Monero
- YARA_RULE9: התאמה לתוכנת כרייה שמשתמשת בהצפנת AES וב-Blake2
- YARA_RULE10: התאמה לתוכנת כרייה שמשתמשת בשגרת הוכחת העבודה CryptoNight
- YARA_RULE15: מתאים לתוכנת כרייה של NBMiner
- YARA_RULE17: התאמה לתוכנת כרייה שמשתמשת בשגרת הוכחת העבודה Scrypt
- YARA_RULE18: התאמה לתוכנת כרייה שמשתמשת בשגרת הוכחת העבודה Scrypt
- YARA_RULE19: התאמה לתוכנת כרייה של BFGMiner
- YARA_RULE24: התאמה לתוכנת כרייה עבור XMR-Stak
- YARA_RULE25: מתאים לתוכנת כרייה של XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: התאמות לתוכנת כרייה עבור BFGMiner
המאמרים הבאים
- מידע נוסף על זיהוי איומים במכונות וירטואליות
- איך מאפשרים ל-VM Threat Detection לסרוק מכונות וירטואליות בגבולות גזרה של VPC Service Controls
- איך מפעילים את התכונה 'זיהוי איומים במכונות וירטואליות' ב-AWS
- איך מגיבים לממצאי איומים ב-Compute Engine
- אפשר לעיין באינדקס של ממצאי איומים.