Cryptomining

배포에서 크립토마이닝을 면밀히 모니터링하려면 IBM 보안 QRadar 크립토마이닝 콘텐츠 확장 프로그램을 사용하세요. Cryptomining을 올바르게 수행하려면 Baseline Maintenance content extension 1.05 이상이 필요합니다. Cryptomining을 설치하기 전에 Baseline Maintenance content extension을 설치하십시오.

중요: 이 컨텐츠 확장에서 컨텐츠 오류를 방지하려면 연관된 DSM을 최신 상태로 유지하십시오. DSM은 자동 업데이트의 일부로 업데이트됩니다. 자동 업데이트가 활성화되지 않은 경우 IBM® Fix Central에서 관련 DSM의 최신 버전을 다운로드하세요(https://www.ibm.com/support/fixcentral).

IBM 보안 QRadar 크립토마이닝 콘텐츠 확장 1.1.1

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.1.1에 포함된 사용자 정의 특성을 표시합니다.

표 1. IBM 보안 QRadar Cryptomining 1.1.1 의 사용자 정의 특성
사용자 정의 특성	발견되는 위치
명령 인수	Linux
파일 이름	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport 엔드포인트 FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid Sysmon VMware Microsoft 365 Defender
시스템 ID	Linux Microsoft Windows
MD5 해시	Cisco AMP Microsoft 365 Defender Microsoft Windows
프로세스 명령행	Carbon Black 응답 Kubernetes Microsoft Windows osquery Sysmon
프로세스 이름	Carbon Black 응답 엔드포인트 FireEye MPS Linux Microsoft Windows ObserveIT osquery
SHA256 해시	Cisco AMP Microsoft 365 Defender osquery Sysmon
UrlHost	Blue Coat Cisco Ironport QRadar 용 IBM Cloud Discovery 앱 McAfee EPO Squid Microsoft 365 Defender

다음 표는 IBM Security QRadar Cryptomining 1.1.1의 룰을 표시합니다.

표 2. IBM 보안 QRadar Cryptomining 1.1.1 의 규칙
유형	이름	설명
규칙	가상화폐 마이닝 활동 이후 악용 시도	동일한 호스트에서 악용 또는 공격 유형 활동 뒤에 가상화폐 마이닝 활동이 수행되는 경우 트리거됩니다. 이는 악성코드에 감염된 시스템 또는 회사 자산의 오용을 나타낼 수 있습니다.

_{(맨 위로 돌아가기)}

IBM 보안 QRadar 크립토마이닝 콘텐츠 확장 1.1.0

참고: 이 컨텐츠 확장에 포함된 일부 사용자 정의 특성은 플레이스홀더입니다. 이러한 이름을 사용하여 사용자 정의 특성이 포함된 다른 컨텐츠 확장을 다운로드하거나 자체적으로 작성할 수 있습니다.

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.1.0에 포함된 사용자 정의 특성을 표시합니다.

표 3. IBM 보안 QRadar Cryptomining 1.1.0 의 사용자 정의 특성
이름	최적화 여부	캡처 그룹	정규식
파일 해시	예	1	FILE_HASH=([^\s]+)
위협 이름	예	1	EVC_EV_VIRUS_NAME=([^\s]+)

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.1.0에 플레이스홀더로 포함된 사용자 정의 특성을 표시합니다.

표 4. IBM 보안 QRadar Cryptomining Content Extension 1.1.0 의 플레이스홀더 사용자 정의 특성
사용자 정의 특성	발견되는 위치
명령 인수	Linux
시스템 ID	Linux Microsoft Windows
MD5 해시	Cisco AMP Microsoft 365 Defender Microsoft Windows
프로세스 이름	Carbon Black 응답 엔드포인트 FireEye MPS Linux Microsoft Windows ObserveIT osquery
SHA1 해시	Cisco AMP Microsoft 365 Defender Microsoft Windows Sysmon
SHA256 해시	Cisco AMP Microsoft 365 Defender osquery Sysmon

다음 표는 IBM Security QRadar Cryptomining 1.1.0의 룰 및 빌딩 블록을 표시합니다.

표 5. IBM 보안 QRadar 암호화 1.1.0 의 룰 및 빌딩 블록
유형	이름	설명
빌딩 블록	BB:위협: 암호화폐 채굴을 위한 커뮤니케이션 이벤트 URL	가상화폐 마이닝 호스트에 대한 통신이 발견되는 경우 트리거됩니다. 가상화폐 마이닝 호스트 참조 세트를 관련 URL로 채우십시오.
빌딩 블록	BB: 위협: 가상화폐 마이닝 포트	공통 가상화폐 마이닝 포트를 사용하는 통신이 발견되는 경우 트리거됩니다.
빌딩 블록	BB: 위협: 가상화폐 마이닝 프로세스 이름 패턴	가상화폐 마이닝 프로세스가 시작되는 경우 트리거됩니다.
빌딩 블록	BB: Threats: Cryptocurrency Mining 프로세스 이름	가상화폐 마이닝 프로세스가 시작되는 경우 트리거됩니다.
빌딩 블록	BB: 위협: 이벤트에 대한 가상화폐 마이닝 위협 해시	가상화폐 마이닝 파일 해시가 발견되는 경우 트리거됩니다. 가상화폐 마이닝 위협 해시(Cryptocurrency Mining Threat Hashes) 참조 세트를 관련 파일 해시로 채우십시오.
빌딩 블록	BB: 위협: 플로우에 대한 가상화폐 마이닝 위협 해시	가상화폐 마이닝 파일 해시가 발견되는 경우 트리거됩니다. 가상화폐 마이닝 위협 해시(Cryptocurrency Mining Threat Hashes) 참조 세트를 관련 파일 해시로 채우십시오.
빌딩 블록	BB: Threat: 가상화폐 마이닝 위협 이름 패턴	가상화폐 마이닝 위협 이름이 발견되는 경우 트리거됩니다.
빌딩 블록	BB: 위협: 가상화폐 마이닝 위협 이름	가상화폐 마이닝 위협 이름이 발견되는 경우 트리거됩니다.
빌딩 블록	BB: Threats: X-Force Premium: Cryptocurrency Mining으로 분류된 호스트에 대한 내부 연결	내부 시스템이 가상화폐 마이닝을 호스팅하는 것으로 간주되는 IP 주소와 통신하는 경우 트리거됩니다. 가상화폐 마이닝 악성코드 감염의 표시기가 될 수 있습니다. 기본 신뢰도(75)의 경우 가상화폐 마이닝 호스트일 가능성이 매우 높음을 나타냅니다.
빌딩 블록	BB: 위협: X-Force 프리미엄: 암호화폐 채굴을 위한 내부 호스트 통신 URL	내부 시스템이 가상화폐 마이닝을 호스팅하는 것으로 간주되는 URL과 통신하는 경우 트리거됩니다. 가상화폐 마이닝 악성코드 감염의 표시기가 될 수 있습니다.
규칙	가상화폐 마이닝 명령 실행	가상화폐 마이닝 명령이 발견되면 트리거됩니다. 이는 악성코드에 감염된 시스템 또는 회사 자산의 오용을 나타낼 수 있습니다.
규칙	가상화폐 마이닝 파일 해시	가상화폐 마이닝 파일 해시가 발견되면 트리거됩니다. 이는 악성코드에 감염된 시스템 또는 회사 자산의 오용을 나타낼 수 있습니다.
규칙	가상화폐 마이닝 프로세스	가상화폐 마이닝 프로세스가 발견되는 경우 트리거됩니다. 이는 악성코드에 감염된 시스템 또는 회사 자산의 오용을 나타낼 수 있습니다.
규칙	가상화폐 마이닝 위협 이름	가상화폐 마이닝 위협(예: 바이러스, 악성코드)이 발견되면 트리거됩니다. 이는 악성코드에 감염된 시스템 또는 회사 자산의 오용을 나타낼 수 있습니다.
규칙	가상화폐 마이닝 트래픽	가상화폐 마이닝 트래픽이 발견되는 경우 트리거됩니다. 이는 분류되지 않은 IP를 사용하여 가상화폐 마이닝 풀과 통신하는 시스템을 나타낼 수 있습니다.
규칙	가상화폐 마이닝 활동 이후 악용 시도	동일한 호스트에서 악용 또는 공격 유형 활동 뒤에 가상화폐 마이닝 활동이 수행되는 경우 트리거됩니다. 이는 악성코드에 감염된 시스템 또는 회사 자산의 오용을 나타낼 수 있습니다.
규칙	인브라우저 크립토재킹 - JavaScript 파일 해시	크립토재킹과 관련된 JavaScript 파일 해시가 발견되는 경우 트리거됩니다. 이는 브라우저에서 크립토재킹 Javascript 파일을 로드하기 위한 GET 요청을 전송했고 악성코드에 감염되거나 회사 자산의 오용을 나타낼 수 있음을 나타낼 수 있습니다.
규칙	인브라우저 크립토재킹 - JavaScript 파일 이름	크립토재킹과 관련된 JavaScript 파일 이름이 발견되는 경우 트리거됩니다. 이는 브라우저에서 크립토재킹 Javascript 파일을 로드하기 위한 GET 요청을 전송했고 악성코드에 감염되거나 회사 자산의 오용을 나타낼 수 있음을 나타낼 수 있습니다.
규칙	가상화폐 마이닝 호스트에 대한 성공적인 통신	가상화폐 마이닝 호스트에 대한 성공적인 통신이 발견되는 경우 트리거됩니다. 이는 악성코드에 감염된 시스템 또는 회사 자산의 오용을 나타낼 수 있습니다.

다음 표는 IBM Security QRadar Cryptomining 1.1.0의 참조 세트를 표시합니다.

표 6. IBM 보안 QRadar Cryptomining 1.1.0 의 참조 세트
이름	설명
가상화폐 마이닝 Javascript 파일 해시	가상화폐 마이닝 JavaScript 파일 해시의 목록이 포함되어 있습니다.

다음 표는 IBM Security QRadar Cryptomining 1.1.0의 저장된 검색을 표시합니다.

표 7. IBM 보안 QRadar 암호화 1.1.0 의 저장된 검색
이름	설명
가상화폐 마이닝 활동 관련 대상 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 이벤트를 표시하고 대상 주소 및 대상 포트를 기준으로 해당 이벤트를 그룹화합니다.
가상화폐 마이닝 활동 관련 대상 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 플로우를 표시하고 대상 주소 및 대상 포트를 기준으로 해당 이벤트를 그룹화합니다.
가상화폐 마이닝 활동 관련 소스 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 이벤트를 표시하고 소스 주소 및 소스 포트를 기준으로 해당 이벤트를 그룹화합니다.
가상화폐 마이닝 활동 관련 소스 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 플로우를 표시하고 소스 주소 및 소스 포트를 기준으로 해당 이벤트를 그룹화합니다.

_{(맨 위로 돌아가기)}

IBM 보안 QRadar 크립토마이닝 콘텐츠 확장 1.0.0

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.0.0에 포함된 사용자 정의 특성을 표시합니다.

참고: 이 컨텐츠 확장에 포함된 사용자 정의 특성은 플레이스홀더입니다. 이러한 이름을 사용하여 사용자 정의 특성이 포함된 다른 컨텐츠 확장을 다운로드하거나 자체적으로 작성할 수 있습니다.

표 8. IBM 보안 QRadar Cryptomining Content Extension 1.0.0 의 사용자 정의 특성
사용자 정의 특성	발견되는 위치
파일 해시	Bit9 Security Platform Carbon Black Protection Carbon Black 응답 Cisco AMP Cisco Firepower FireEye MPS Lastline Enterprise McAfee EPO Microsoft 365 Defender osquery Sysmon
파일 해시	엔드포인트 QRadar Network Insights 컨텐츠 확장
파일 이름	Amazon AWS Azure Bit9 Security Platform Blue Coat Carbon Black Protection Cisco AMP Cisco Firepower Cisco Ironport 엔드포인트 FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series Postfix Squid Sysmon VMware Microsoft 365 Defender
HTTP 호스트	엔드포인트 QRadar Network Insights 컨텐츠 확장
ImageName	Sysmon
프로세스 명령행	Carbon Black 응답 Kubernetes Microsoft Windows osquery Sysmon
프로세스 이름	Carbon Black 응답 엔드포인트 FireEye MPS Linux Microsoft Windows ObserveIT osquery
위협 이름	Amazon AWS Cisco AMP Cisco Ironport Fortinet FortiAnalyzer McAfee EPO 위협 모니터링 Microsoft 365 Defender Zscaler
URL	Blue Coat Check Point Cisco Ironport IBM Security QRadar DNS 분석기 FireEye MPS Fortinet FortiAnalyzer Juniper SSL VPN McAfee EPO Palo Alto PA Series Squid Symantec 엔드포인트 보호 위협 모니터링 Microsoft 365 Defender
URL 호스트	Blue Coat Cisco Ironport QRadar 용 IBM Cloud Discovery 앱 McAfee EPO Squid Microsoft 365 Defender

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.0.0의 룰 및 빌딩 블록을 표시합니다.

표 9. IBM 보안 QRadar Cryptomining Content Extension 1.0.0 의 룰 및 빌딩 블록
유형	이름	설명
빌딩 블록	BB:DeviceDefinition: 운영 체제	이 룰은 시스템에 있는 모든 운영 체제를 정의합니다.
빌딩 블록	BB: Threats: Cryptocurrency Mining IP에 대한 통신	가상화폐 마이닝 IP 주소에 대한 통신을 발견합니다. 튜닝을 위해 참조 세트를 업데이트하십시오.
빌딩 블록	BB:위협: 암호화폐 채굴을 위한 커뮤니케이션 이벤트 URL	가상화폐 마이닝 호스트에 대한 통신을 발견합니다. 튜닝을 위해 참조 세트를 업데이트하십시오.
빌딩 블록	BB:위협: 암호화폐 채굴을 위한 커뮤니케이션 흐름의 URL	가상화폐 마이닝 호스트에 대한 통신을 발견합니다. 튜닝을 위해 참조 세트를 업데이트하십시오.
빌딩 블록	BB: 위협: 가상화폐 마이닝 프로세스 이름 패턴	잘 알려진 가상화폐 마이닝 프로세스가 시작되는 경우 이를 발견합니다.
빌딩 블록	BB: Threats: Cryptocurrency Mining 프로세스 이름	잘 알려진 가상화폐 마이닝 프로세스가 시작되는 경우 이를 발견합니다.
빌딩 블록	BB: 위협: 이벤트에 대한 가상화폐 마이닝 위협 해시	SHA256 해시를 사용하여 가상화폐 마이닝에 대한 위협을 발견합니다. 튜닝을 위해 참조 세트를 업데이트하십시오.
빌딩 블록	BB: 위협: 플로우에 대한 가상화폐 마이닝 위협 해시	가상화폐 마이닝 호스트에 대한 통신을 발견합니다. 튜닝을 위해 참조 세트를 업데이트하십시오.
빌딩 블록	BB: Threat: 가상화폐 마이닝 위협 이름 패턴	자주 사용되는 용어(예: 코인, 암호화 및 마이닝)을 사용하여 가상화폐 마이닝에 대한 위협을 발견합니다. 튜닝을 위해 정규식을 업데이트하십시오.
빌딩 블록	BB: 위협: 가상화폐 마이닝 위협 이름	가상화폐 마이닝에 대한 위협을 발견합니다. 튜닝을 위해 참조 세트를 업데이트하십시오.
빌딩 블록	BB: Threats: X-Force Premium: Cryptocurrency Mining으로 분류된 호스트에 대한 내부 연결	이 룰은 내부 시스템이 가상화폐 마이닝을 호스팅하는 것으로 간주되는 IP 주소와 통신하는 경우 이를 통지합니다. 가상화폐 마이닝 악성코드 감염의 지표가 될 수 있습니다. 기본 신뢰도(75)의 경우 가상화폐 마이닝 호스트일 가능성이 매우 높음을 나타냅니다.
빌딩 블록	BB: 위협: X-Force 프리미엄: 암호화폐 채굴을 위한 내부 호스트 통신 URL	이 룰은 내부 클라이언트에서 가상화폐 마이닝 활동으로 알려진 웹 URL을 로드하는 경우 이를 통지합니다.
빌딩 블록	BB: 위협: X-Force 프리미엄: 암호화폐 채굴을 위한 내부 호스트 통신 URL	이 룰은 내부 시스템이 가상화폐 마이닝을 호스팅하는 것으로 간주되는 HTTP 호스트와 통신하는 경우 이를 통지합니다. 가상화폐 마이닝 악성코드 감염의 지표가 될 수 있습니다.
규칙	가상화폐 마이닝 호스트에 대한 통신이 발견됨	가상화폐 마이닝 대상에 대한 통신을 발견합니다. 가상화폐 마이닝 악성코드에 의해 손상된 호스트를 나타낼 수 있습니다.
규칙	파일 해시를 기반으로 가상화폐 마이닝 활동이 발견됨	가상화폐 마이닝 파일 해시를 발견합니다.
규칙	프로세스 명령행을 기반으로 가상화폐 마이닝 활동이 발견됨	가상화폐 마이닝 활동이 프로세스 명령행을 기반으로 하는 경우 이를 발견합니다.
규칙	위협 이름을 기반으로 가상화폐 마이닝 활동이 발견됨	가상화폐 마이닝 위협을 발견합니다.
규칙	가상화폐 마이닝 프로세스가 발견됨	잘 알려진 가상화폐 마이닝 프로세스가 시작되는 경우 이를 발견합니다.
규칙	로드된 Javascript 파일 해시를 기반으로 인브라우저 크립토재킹이 발견됨	브라우저에서 크립토재킹 Javascript 파일을 로드하기 위한 GET 요청을 전송하는 경우 이를 발견합니다. 이 룰은 해당 활동을 발견하기 위해 파일 해시를 사용합니다.
규칙	로드된 Javascript 파일 이름을 기반으로 인브라우저 크립토재킹이 발견됨	브라우저에서 크립토재킹 Javascript 파일을 로드하기 위한 GET 요청을 전송하는 경우 이를 발견합니다. 이 룰은 해당 활동을 발견하기 위해 URL 파일 이름 구성요소를 사용합니다.
규칙	가상화폐 마이닝 활동 이후 악용 시도	15분 이내에 원래 이벤트와 동일한 대상 IP 주소의 가상화폐 마이닝 활동 이후 동일한 소스 IP 주소로부터의 악용 또는 공격 유형 활동을 보고합니다.

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.0.0의 보고서를 표시합니다.

표 10. IBM 보안 QRadar Cryptomining Content Extension 1.0.0 의 보고서
보고서 이름	검색 이름 및 종속성
가상화폐 마이닝 활동 관련 IP	이 보고서는 가상화폐 마이닝과 관련된 IP 주소의 개요를 제공합니다. 추가 튜닝을 위해 검색 필터를 업데이트하십시오.

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.0.0의 참조 세트를 표시합니다.

참고: 참조 세트의 요소는 기본적으로 만료되지 않습니다. 참조 세트가 과도하게 채워져 있지 않도록 하기 위해 요소에 만기 날짜를 설정할 수 있습니다.

표 11. IBM 보안 QRadar Cryptomining Content Extension 1.0.0 의 참조 세트
이름	설명
가상화폐 마이닝 호스트	가상화폐 마이닝 호스트의 목록이 포함되어 있습니다.
가상화폐 마이닝 Javascript 파일 해시	가상화폐 마이닝 Javascript 파일 해시의 목록이 포함되어 있습니다.
가상화폐 마이닝 위협 해시	가상화폐 마이닝 위협 파일 해시의 목록이 포함되어 있습니다.
가상화폐 마이닝 Javascript 파일 이름	가상화폐 마이닝 Javascript 파일 이름의 목록이 포함되어 있습니다.
가상화폐 마이닝 IP	가상화폐 마이닝 IP 주소의 목록이 포함되어 있습니다.
가상화폐 마이닝 위협 이름	가상화폐 마이닝 위협 이름의 목록이 포함되어 있습니다.
가상화폐 마이닝 프로세스 이름	가상화폐 마이닝 프로세스의 목록이 포함되어 있습니다.

다음 표는 IBM Security QRadar Cryptomining Content Extension 1.0.0의 저장된 검색을 표시합니다.

표 12. IBM 보안 QRadar Cryptomining Content Extension 1.0.0 의 저장된 검색
이름	설명
가상화폐 마이닝 활동 관련 소스 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 이벤트를 표시하고 소스 주소 및 소스 포트를 기준으로 해당 이벤트를 그룹화합니다.
가상화폐 마이닝 활동 관련 대상 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 이벤트를 표시하고 대상 주소 및 대상 포트를 기준으로 해당 이벤트를 그룹화합니다.
가상화폐 마이닝 활동 관련 소스 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 플로우를 표시하고 소스 주소 및 소스 포트를 기준으로 해당 이벤트를 그룹화합니다.
가상화폐 마이닝 활동 관련 대상 주소	가상화폐 마이닝 활동(해당 룰 중 하나가 트리거됨)과 관련된 모든 플로우를 표시하고 대상 주소 및 대상 포트를 기준으로 해당 이벤트를 그룹화합니다.

_{(맨 위로 돌아가기)}