暗号通貨マイニング (Cryptocurrency mining)

暗号通貨は、強力な暗号化を使用して金融取引のセキュリティーを管理するデジタル資産であり、ビットコインなどがあります。 暗号通貨は、一元化されたデジタル通貨や銀行システムを使用しません。

クリプト・マイニング・マルウェアは、個人のデータや資格情報を盗み出すのではなく、コンピューター・リソースを乗っ取って暗号通貨をマイニングします。 ここ数年にわたって、犯罪者がエンドポイント、サーバー、スマートフォン、その他の電子デバイスを標的にして収益を上げるために、このようなタイプの攻撃が頻繁に発生しています。

これらのタイプの攻撃は、暗号通貨を盗むだけではありません。 IBM® QRadar® は、暗号通貨攻撃が原因で発生する可能性がある、パフォーマンスの低下、エネルギー・コストの増加、およびクラウド・ベース・ネットワークでの追加のサーバー・コストからネットワークを保護するのに役立ちます。

脅威のシミュレーション

「暗号通貨マイニング (Cryptocurrency mining)」シミュレーションでは、Kaspersky Security Center ログ・ソースから受信したイベント・ペイロードに埋め込まれたトロイの木馬ウィルスを再現します。

QRadar がどのように脅威を検出するかを確認するには、シミュレーションを実行します。
  1. 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
  2. 「脅威シミュレーター」をクリックします。
  3. 「暗号通貨マイニング」 シミュレーションを見つけて、 「実行」をクリックします。
「ログ・アクティビティー」タブで、以下の着信イベントを確認できます。これらの着信イベントは、ユース・ケースをシミュレートするために使用されます。
表 1. 「暗号通貨マイニング (Cryptocurrency mining)」ユース・ケースの着信イベント
内容 説明
イベント ウィルスが検出されました

着信イベントのログ・ソースは、例えば Experience Center: KasperskySecurityCenter のようになります。
ログ・ソース エクスペリエンス・センター: WindowsAuthServer @ EC:<machine_name>

エクスペリエンス・センター: WindowsAuthServer @ EC:<user_name>

「ログ・アクティビティー」 タブで、 QRadarに着信する Virus found イベントを確認できます。 これらのイベントは、イベント・ペイロードでウイルスまたは他のタイプのマルウェアが検出されたことを示します。

脅威の検出: QRadar の動作

このシミュレーションでは、「ウィルスの検出 (Virus found)」イベントは、Experience Center: KasperskySecurityCenter ログ・ソースから受信したイベント・ペイロードにウィルスが含まれていることを示します。 カスタム・ルール・エンジン (CRE) が処理するイベントによって、「脅威名に基づく暗号通貨マイニング・アクティビティーの検出 (Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center))」という名前の新規イベントを作成するルールがトリガーされます。

潜在的な脅威についてユーザーに警告するために、CRE は「脅威名に基づく暗号通貨マイニング・アクティビティーの検出 (Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center))」という名前のオフェンスも作成します。 オフェンスには索引が付けられ、同じ脅威名を持つ寄与イベントはすべて、単一のオフェンスにグループ化されます。

脅威の調査

以下の IBM QRadar コンテンツは、 Cryptocurrency Mining 脅威シミュレーションによって作成されます。 シミュレーションを実行した後、このコンテンツを使用して脅威を追跡および調査できます。

表 2. QRadar Cryptocurrency Mining シミュレーションの内容
内容 名前
保存済み検索 EC: 暗号通貨マイニング (EC: Cryptocurrency Mining)
着信イベント ウィルスが検出されました

着信イベントのログ・ソースは、例えば Experience Center: KasperskySecurityCenter のようになります。
ルール 脅威名に基づく暗号通貨マイニング・アクティビティーの検出 (Exp Center) (Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center))
生成されるイベント 脅威名に基づく暗号通貨マイニング・アクティビティーの検出 (Exp Center) (Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center))

QRadar によって生成されるイベントのログ・ソースは、カスタム・ルール・エンジン (CRE) です。
オフェンス 脅威名に基づく暗号通貨マイニング・アクティビティーの検出 (Exp Center) (Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center))

オフェンスには、「EC 脅威名 (EC Threat Name)」に基づいて索引が付けられます。このルールをトリガーしたイベントのうち、同じ脅威名を持つすべてのイベントが、同じオフェンスに属します。

使用例を実行する前に、ご使用環境にあるイベントとルールに応じて、オフェンス名の前に<offense name>が付き、<offense name>を含む場合あります。