암호화폐 채굴
가상화폐는 강력한 암호화를 사용하여 비트 동전과 같은 금융 거래에 대한 보안을 관리하는 디지털 자산입니다. 가상화폐는 중앙 집중식 디지털 통화 또는 뱅킹 시스템을 사용하지 않습니다.
암호화 멀웨어는 개인 데이터나 신임 정보를 훔치기 보다는 컴퓨터 리소스를 인수하여 가상화폐를 마이닝합니다. 지난 몇 년 동안 이러한 유형의 공격은 범죄자가 수익을 창출하기 위해 엔드포인트, 서버, 스마트폰 및 기타 전자 디바이스를 대상으로 하므로 더 자주 발생합니다.
이러한 유형의 공격은 가상화폐를 훔치는 것 이상의 기능을 수행할 수 있습니다. IBM® QRadar® 는 가상화폐 공격으로 인해 발생할 수 있는 클라우드 기반 네트워크의 후속 성능 저하, 에너지 비용 증가 및 추가 서버 비용으로부터 네트워크를 보호하는 데 도움을 줄 수 있습니다.
위협 시뮬레이션
가상화폐 마이닝 시뮬레이션은 Kaspersky Security Center 로그 소스에서 수신된 이벤트 페이로드에 묻힌 트로이 바이러스를 모방합니다.
- 로그 보기 탭에서 Experience Center 표시를 클릭하십시오.
- 위협 시뮬레이터를 클릭하십시오.
- Cryptocurrency 마이닝 시뮬레이션을 찾고 실행을 클릭하십시오.
| 컨텐츠 | 설명 |
|---|---|
| 이벤트 | 바이러스 발견 수신 이벤트의 로그 소스는 이 예와 비슷합니다: 경험 센터: KasperskySecurityCenter. |
| 로그 소스 | 체험 센터: WindowsAuthServer @ EC: <기계_이름> 체험 센터: WindowsAuthServer @ EC: <사용자 이름> |
로그 보기 탭에서 QRadar로 수신되는 바이러스 발견 이벤트를 볼 수 있습니다. 이러한 이벤트는 이벤트 페이로드에서 바이러스 또는 기타 유형의 악성코드가 발견되었음을 표시합니다.
위협 발견: 작동 중인 QRadar
이 시뮬레이션에서 바이러스 발견 이벤트는 경험 센터( KasperskySecurityCenter 로그 소스)에서 수신한 이벤트 페이로드에 바이러스가 포함되어 있음을 나타냅니다. CRE (Custom Rule Engine) 는 Detected a Cryptocurrency Mining Activity Based on Threat Name (Exp Center)이라는 새 이벤트를 작성하는 규칙을 트리거하는 이벤트를 처리합니다.
잠재적 위협에 대해 경고하기 위해 CRE는 위협 이름을 기반으로 가상화폐 마이닝 활동 발견 (Exp Center)이라는 오펜스도 작성합니다. 오펜스는 동일한 위협 이름을 가진 모든 기여 이벤트를 단일 오펜스로 그룹화하도록 인덱싱됩니다.
위협 조사
다음 IBM QRadar 컨텐츠는 Cryptocurrency Mining 위협 시뮬레이션에 의해 작성됩니다. 시뮬레이션을 실행한 후 이 컨텐츠를 사용하여 위협을 추적하고 조사할 수 있습니다.
| 컨텐츠 | 이름 |
|---|---|
| 저장된 검색 | EC: 가상화폐 마이닝 |
| 들어오는 이벤트 | 바이러스 발견 수신 이벤트의 로그 소스는 이 예와 비슷합니다: 경험 센터: KasperskySecurityCenter. |
| 규칙 | 위협 이름을 기반으로 가상화폐 마이닝 활동 발견 (Exp Center) |
| 생성된 이벤트 | 위협 이름을 기반으로 가상화폐 마이닝 활동 발견 (Exp Center) QRadar 에서 생성되는 이벤트의 로그 소스는 CRE (Custom Rule Engine) 입니다. |
| 오펜스 | 위협 이름을 기반으로 가상화폐 마이닝 활동 발견 (Exp Center) 오펜스는 EC 위협 이름을 기반으로 색인화됩니다. 이 룰을 트리거하고 위협 이름이 동일한 모든 이벤트는 동일한 오펜스의 일부입니다. 유스 케이스를 실행하기 전에 사용자 환경에 있는 이벤트 및 규칙에 따라 오펜스의 이름에 < 오펜스 이름> 이 앞에 옵니다. 또는 < 오펜스 이름> 포함가 포함될 수 있습니다. |