Prisma Cloud 计算:Crypto-minor 误报检测

Prisma Cloud 计算:Crypto-minor 误报检测

0
Created On 07/27/21 20:53 PM - Last Modified 04/18/24 18:56 PM


Symptom


客户在日志中收到以下调试消息:
pubsub_defender.go:1593 Runtime audit /usr/bin/dpkg created /usr/lib/x86_64-linux-gnu/libdcerpc-server.so.0.0.1, 
which is identified as a crypto miner xmrig. MD5: ea0fb6794d7bfc766c2ccc481b45add2. Command: /usr/bin/dpkg --status-fd 12 --no-triggers --unpack 
--auto-deconfigure /var/cache/apt/archives/python-samba_2%3a4.7.6+dfsg~ubuntu-0ubuntu2.23_amd64.deb 
/var/cache/apt/archives/samba-common-bin_2%3a4.7.6+dfsg~ubuntu-0ubuntu2.23_amd64.deb 
/var/cache/apt/archives/samba-common_2%3a4.7.6+dfsg~ubuntu-0ubuntu2.23_all.deb /var/cache/apt/archives/samba-libs_2%3a4.7.6+dfsg~ubuntu-0ubuntu2.23_amd64.deb 
/var/cache/apt/archives/libwbclient0_2%3a4.7.6+dfsg~ubuntu-0ubuntu2.23_amd64.deb. Attack type: crypto miner process,

 

Environment


  • Prisma Cloud 计算 Saas 版本
  • 自托管版本 20.12 及更高版本

Cause


此加密警报的原因是因为蟒蛇桑巴包裹。

Resolution


这确实是一个误报,其解决方案已经得到处理。
目前已为 Iverson 版本安排了修复。

与此同时,解决方法是将以下内容添加到允许的进程中。
  1. 计算 > 防御 > 运行时 > 主机Policy
  2. 在“允许的进程”中添加以下路径
/usr/bin/dpkg
  1. 单击保存。

Additional Information


如果在安全研究之后,您确定这是误报,那么您应该考虑禁用加密货币未成年人如果误报太多,则使用检测功能。

艾弗森版本中实施了对加密轻微误报的修复。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMMdCAM&lang=zh_CN%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail