加密货币挖掘
加密货币是一种数字资产,使用强大的密码术来管理金融交易的安全性,例如比特币。 加密货币不使用集中式数字货币或银行系统。
加密恶意软件不会窃取个人数据或凭证,而是会接管计算机资源,以挖掘加密货币。 在过去几年里,随着犯罪分子瞄准终端,服务器,智能手机和其他电子设备以产生收入,这些类型的攻击越来越频繁发生。
这些类型的攻击可不仅仅是窃取加密货币; IBM® QRadar® 可帮助您保护网络免受后续性能下降,能源成本增加以及基于云的网络中加密货币攻击可能导致的额外服务器成本的影响。
模拟威胁
加密货币挖掘 模拟模拟在从卡巴斯基安全中心日志源接收到的事件有效内容中嵌入的木马病毒。
- 在 日志活动 选项卡上,单击 显示体验中心。
- 单击 威胁模拟器。
- 找到 加密货币挖掘 模拟并单击 运行。
| 内容 | 描述 |
|---|---|
| 事件 | 发现病毒 传入事件的日志源与此示例类似: 体验中心: KasperskySecurityCenter。 |
| 日志源 | 体验中心: WindowsAuthServer @ EC:<机器名称 体验中心: WindowsAuthServer @ EC:<用户名 |
在 日志活动 选项卡上,您可以看到进入 QRadar的 Virus found 事件。 这些事件表明在事件有效内容中发现了病毒或其他类型的恶意软件。
正在检测威胁: QRadar
在此模拟中," 发现病毒 "事件表示从体验中心: KasperskySecurityCenter 日志源接收到的事件有效负载包含病毒。 定制规则引擎 (CRE) 会处理事件,这会触发用于创建名为 检测到基于威胁名称的加密货币挖掘活动 (Exp Center)的新事件的规则。
为了向您发出潜在威胁的警告, CRE 还会创建名为 检测到基于威胁名称的加密货币挖掘活动 (Exp Center)的攻击。 将对攻击建立索引,以便将具有相同威胁名称的所有添加事件分组到单个攻击中。
调查威胁
以下 IBM QRadar 内容由 Cryptocurrency Mining 威胁模拟创建。 在运行模拟后,您可以使用此内容来跟踪和调查威胁。
| 内容 | 名称 |
|---|---|
| 保存的搜索 | EC: 密码货币挖掘 |
| 传入事件 | 发现病毒 传入事件的日志源与此示例类似: 体验中心: KasperskySecurityCenter。 |
| 规则 | 检测到基于威胁名称的加密货币挖掘活动 (Exp Center) |
| 生成的事件 | 检测到基于威胁名称的加密货币挖掘活动 (Exp Center) QRadar 生成的事件的日志源是定制规则引擎 (CRE)。 |
| 攻击 | 检测到基于威胁名称的加密货币挖掘活动 (Exp Center) 将根据 EC 威胁名称对攻击建立索引; 触发此规则且具有相同威胁名称的所有事件都是同一攻击的一部分。 在运行用例之前,根据环境中存在的事件和规则,攻击的名称可能包含 preceded by <offense name> 或 containing <offense name>。 |