Mineração de criptomoedas
Uma criptomoeda é um ativo digital que usa criptografia forte para gerenciar a segurança de transações financeiras, como bitcoins. As criptomoedas não usam moedas digitais centralizadas ou sistemas bancários.
Em vez de roubar dados pessoais ou credenciais, o malware de criptomineração assume o controle de recursos do computador para minerar criptomoedas. Ao longo dos últimos anos, esses tipos de ataques estão acontecendo com mais frequência, já que os criminosos têm como alvo terminais, servidores, smartphones e outros dispositivos eletrônicos para gerar receita.
Esses tipos de ataques podem fazer mais do que roubar criptomoeda; o IBM® QRadar® pode ajudar a proteger sua rede contra lentidões de desempenho subsequentes, custos de energia aumentados e custos extras do servidor em redes baseadas em nuvem que os ataques de criptomoeda podem causar.
Simulando a ameaça
A simulação Mineração de criptomoedas imita um vírus Trojan que é enterrado em uma carga útil do evento que é recebida de uma origem de log do Kaspersky Security Center.
- Na guia Atividade de log, clique em Mostrar Experience Center.
- Clique em Simulador de ameaça.
- Localize a simulação de Mineração de criptomoeda e clique em Executar
| Conteúdo | Descrição |
|---|---|
| Eventos | vírus localizados A origem de log para o evento recebido parece semelhante a este exemplo: Experience Center: KasperskySecurityCenter. |
| Origens de log | Centro de experiência: WindowsAuthServer @ EC: <machine_name> Centro de experiência: WindowsAuthServer @ EC: <user_name> |
Na guia Atividade de log , é possível ver os eventos Vírus Localizados que estão entrando no QRadar Esses eventos indicam que um vírus ou outro tipo de malware foi encontrado na carga útil do evento.
Detectando a ameaça: QRadar em ação
Nesta simulação, o evento Vírus encontrado indica que a carga útil do evento que foi recebida da origem de log Experience Center: KasperskySecurityCenter contém um vírus. O Custom Rule Engine (CRE) processa o evento, que aciona uma regra que cria um novo evento chamado Detectada uma atividade de mineração de criptomoedas com base no nome da ameaça (Exp Center).
Para avisar sobre a ameaça potencial, o CRE também cria um delito chamado Detectada uma atividade de mineração de criptomoedas com base no nome da ameaça (Exp Center). O delito é indexado para que agrupe todos os eventos contribuintes com o mesmo nome de ameaça em um único delito.
Investigando a ameaça
O conteúdo do IBM QRadar a seguir é criado pela simulação de ameaça Mineração de Criptografia . Depois de executar a simulação, é possível usar este conteúdo para rastrear e investigar a ameaça.
| Conteúdo | Nome |
|---|---|
| Pesquisa salva | EC: mineração de criptomoedas |
| Evento recebido | vírus localizados A origem de log para o evento recebido parece semelhante a este exemplo: Experience Center: KasperskySecurityCenter. |
| Regra | Detectada uma atividade de mineração de criptomoedas com base no nome da ameaça (Exp Center) |
| Evento Gerado | Detectada uma atividade de mineração de criptomoedas com base no nome da ameaça (Exp
Center) A origem de log para eventos que são gerados pelo QRadar é o Custom Rule Engine (CRE). |
| Ofensa | Detectada uma atividade de mineração de criptomoedas com base no nome da ameaça (Exp
Center) O delito é indexado com base no Nome da ameaça do EC; todos os eventos que acionam esta regra e que têm o mesmo nome de ameaça fazem parte do mesmo delito. Dependendo dos eventos e das regras existentes em seu ambiente antes de executar o caso de uso, o nome do delito pode incluir precedido por <offense name> ou contendo <offense name>. |