Estrazione di criptovaluta
Una criptovaluta è un asset digitale che utilizza la crittografia forte per gestire la sicurezza per le transazioni finanziarie, come le monete di bit. Le criptovalute non utilizzano valute digitali centralizzate o sistemi bancari.
Piuttosto che rubare dati personali o credenziali, il malware criptomare riprende le risorse informatiche alla miniera per la criptovaluta. Nel corso degli ultimi anni, questi tipi di attacchi avvengono più frequentemente man mano che i criminali bersagliano endpoint, server, smartphone e altri dispositivi elettronici per generare entrate.
Questi tipi di attacchi possono fare molto di più che rubare la criptovaluta; IBM® QRadar® può aiutarti a proteggere la tua rete dai successivi rallentamenti delle prestazioni, dall'aumento dei costi energetici e dai costi aggiuntivi dei server nelle reti basate su cloud che gli attacchi di criptovaluta possono causare.
Simulazione della minaccia
La simulazione Mining di criptovaluta mimica un virus Troiano che viene sepolto in un payload evento ricevuto da una fonte di log di Kaspersky Security Center.
- Nella scheda Attività di registrazione , fare clic su Mostra di Experience Center.
- Fare clic su Simulatore di minaccia.
- Individuare la simulazione Mining di criptovaluta e fare clic su Esecuzione.
| Contenuto | Descrizione |
|---|---|
| Eventi | Virus trovato L'origine del registro per l'evento in arrivo è simile a questo esempio: Experience Center: KasperskySecurityCenter. |
| Origini log | Centro di esperienza: WindowsAuthServer @ EC: <nome_macchina> Centro di esperienza: WindowsAuthServer @ EC: <nome_utente> |
Nella scheda Attività di log , è possibile visualizzare gli eventi Virus trovato in QRadar. Questi eventi indicano che nel payload dell'evento sono stati trovati un virus o altro tipo di malware.
Rilevamento della minaccia: QRadar in azione
In questa simulazione, l'evento Virus found indica che il payload dell'evento ricevuto dall'origine del log di Experience Center: KasperskySecurityCenter contiene un virus. Il CRE (Custom Rule Engine) elabora l'evento, che attiva una regola che crea un nuovo evento denominato Rilevata una Cryptocurrency Mining Activity Based su Threat Name (Exp Center).
Per avvertirvi della potenziale minaccia, il CRE crea anche un'offesa chiamata Rilevata una Cryptocurrency Mining Activity Based su Threat Name (Exp Center). L'offesa è indicizzata in modo che raggruppa tutti gli eventi contributori con lo stesso nome di minaccia in un'unica offesa.
Investigare la minaccia
Il seguente contenuto IBM QRadar è creato dalla simulazione della minaccia Mining di criptovaluta . Dopo aver eseguito la simulazione, è possibile utilizzare questo contenuto per tracciare e indagare la minaccia.
| Contenuto | Nome |
|---|---|
| Ricerca salvata | CE: Mining di crittovaluta |
| Evento in arrivo | Virus trovato L'origine del registro per l'evento in arrivo è simile a questo esempio: Experience Center: KasperskySecurityCenter. |
| Regola | Rilevata una Cryptocurrency Mining Activity Based su Threat Name (Exp Center) |
| Evento generato | Rilevata una Cryptocurrency Mining Activity Based su Threat Name (Exp Center) L'origine log per gli eventi generati da QRadar è il CRE (Custom Rule Engine). |
| Offensiva | Rilevata una Cryptocurrency Mining Activity Based su Threat Name (Exp Center) L'offesa è indicizzata in base alla Nome Minaccia CE; tutti gli eventi che attivano questa regola e che hanno lo stesso nome di minaccia fanno parte della stessa offensiva. A seconda degli eventi e delle regole che esistono nel proprio ambiente prima di eseguire il caso d'uso, il nome dell'offensiva potrebbe includere preceduto da < nome offese> o contenente < nome dell'offesa>. |