Nesta página, explicamos as práticas recomendadas para detectar ataques de mineração de criptomoedas (criptomineração) em máquinas virtuais (VMs) do Compute Engine no ambiente do Google Cloud.
Essas práticas recomendadas também servem como requisitos de qualificação para o programa de proteção contra criptomineração do Google Cloud. Para mais informações, consulte a visão geral do Programa de Proteção de Criptografia de Security do Security Command Center.
Ative o nível Premium ou Enterprise do Security Command Center na sua organização
A ativação do nível Premium ou Enterprise do Security Command Center é um elemento fundamental para detectar ataques de mineração de criptomoedas no Google Cloud.
Dois serviços de detecção de ameaças dos níveis Premium e Enterprise são fundamentais para detectar ataques de mineração de criptomoedas: de detecção de ameaças a eventos e de detecção de ameaças à VM.
Como os ataques de mineração de criptomoedas podem ocorrer em qualquer VM de qualquer projeto dentro da organização, ativar o Security Command Center Premium ou Enterprise para toda a organização com a detecção de ameaças a eventos e a detecção de ameaças a VMs é uma prática recomendada e um requisito do Programa de proteção contra mineração de criptomoedas do Security Command Center.
Para mais informações, consulte Visão geral da ativação do Security Command Center.
Ativar serviços de detecção de ameaças de chave em todos os projetos
Ative os serviços de detecção de ameaças a eventos e de detecção de ameaças a VMs do Security Command Center em todos os projetos da sua organização.
Juntos, o Event Threat Detection e o VM Threat Detection detectam eventos que podem levar a um ataque de criptomineração (eventos no estágio 0) e eventos que indicam que um ataque está em andamento (eventos no estágio 1). Os eventos específicos detectados pelos serviços de detecção são descritos nas seções a seguir.
Para ver mais informações, consulte os seguintes tópicos:
Ativar detecção de eventos do estágio 0
Eventos de estágio 0 são eventos no ambiente que geralmente precedem ou são a primeira etapa de ataques comuns de criptomineração.
O Event Threat Detection, um serviço de detecção disponível com o Security Command Center Premium ou Enterprise, emite descobertas para alertar você quando detecta determinados eventos de estágio 0.
Se for possível detectar e corrigir esses problemas rapidamente, será possível evitar muitos ataques de criptomineração antes de gerar custos significativos.
O Event Threat Detection usa as seguintes categorias de descoberta para alertar você sobre esses eventos:
- Account_Has_Leaked_Credentials: uma descoberta nessa categoria indica que uma chave de conta de serviço vazou no GitHub. A aquisição de credenciais de conta de serviço é um precursor comum de ataques de criptomineração.
- Evasão: acesso a partir do proxy anônimo: uma descoberta nessa categoria indica que uma modificação em um serviço do Google Cloud se originou de um proxy anônimo, como um nó de saída.
- Acesso inicial: ação da conta de serviço inativa: uma descoberta nessa categoria indica que uma conta de serviço inativa executou uma ação no seu ambiente. O Security Command Center usa o Policy Intelligence para detectar contas inativas.
Ativar detecção de eventos do cenário 1
Os eventos do Estágio 1 indicam que um programa de aplicativos de criptomineração está sendo executado no ambiente do Google Cloud.
Tanto o Event Threat Detection quanto o VM Threat Detection emitem descobertas do Security Command Center para alertá-lo quando detectarem determinados eventos de estágio 1.
Investigue e corrija essas descobertas imediatamente para evitar custos significativos associados ao consumo de recursos de aplicativos de mineração de criptomineração.
Uma descoberta em qualquer uma das categorias a seguir indica que um aplicativo de mineração de criptomineração está sendo executado em uma VM em um dos projetos no seu ambiente do Google Cloud:
- Execução: regra YARA de criptomineração : As descobertas nesta categoria indicam que o VM Threat Detection detectou um padrão de memória, como uma constante de prova de trabalho, que é usado por um aplicativo de mineração de criptomineração.
- Execução: correspondência de hash de criptomineração: as descobertas nesta categoria indicam que a detecção de ameaças de VM detectou um hash de memória usado por um aplicativo de criptomineração.
- Execução: detecção combinada: as descobertas nesta categoria indicam que a detecção de ameaças da VM detectou um padrão de memória e um hash de memória usados por um aplicativo de criptomineração.
- Malware: IP inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um endereço IP conhecido como usado por aplicativos de criptomineração.
- Malware: domínio inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um domínio conhecido por uso de criptomineração. aplicativos.
Ativar a geração de registros do Cloud DNS
Para detectar chamadas feitas por aplicativos de criptomineração para domínios inválidos conhecidos, ative o Cloud DNS Logging. O Event Threat Detection processa os registros do Cloud DNS e emite descobertas quando detecta a resolução de um domínio conhecido por ser usado para pools de criptomineração.
Integre seus produtos SIEM e SOAR com o Security Command Center
Integre o Security Command Center às ferramentas de operações de segurança atuais, como os produtos SIEM ou SOAR, para fazer a triagem e responder às destinações do Security Command Center para eventos "stage-0" e "stage-1" que indicam possíveis ou ataques de criptomineração reais.
Se a equipe de segurança não usa um produto SIEM ou SOAR, ela precisa se familiarizar com o trabalho com as descobertas do Security Command Center no console do Google Cloud e como configurar notificações e exportações de descoberta usando o Pub/Sub ou as APIs do Security Command Center para rotear as descobertas de ataques de criptomineração com eficiência.
Para as descobertas específicas que você precisa exportar para as ferramentas de operações de segurança, consulte Ativar serviços de detecção de ameaças principais em todos os projetos.
Para informações sobre como integrar produtos SIEM e SOAR ao Security Command Center, consulte Como configurar integrações SIEM e SOAR.
Para informações sobre como configurar notificações ou exportações de descoberta, consulte estas informações:
Designe seus contatos essenciais para notificações de segurança
Para que sua empresa possa responder o mais rápido possível a qualquer notificação de segurança do Google, especifique para o Google Cloud quais equipes da empresa, como segurança de TI ou de operações, devem receber notificações de segurança. Ao especificar uma equipe, insira o endereço de e-mail dela nos Contatos essenciais.
Para garantir a entrega confiável dessas notificações ao longo do tempo, recomendamos que as equipes configurem a entrega para uma lista de e-mails, um grupo ou outro mecanismo que garanta a consistência da entrega e distribuição para a equipe responsável da sua organização. Recomendamos que você não especifique os endereços de e-mail de indivíduos como contatos essenciais, porque a comunicação poderá ser interrompida se os indivíduos mudarem de equipe ou saírem da empresa.
Depois de configurar os contatos essenciais, verifique se a caixa de entrada de e-mail é monitorada continuamente pelas equipes de segurança. O monitoramento contínuo é uma prática recomendada essencial, porque os adversários frequentemente iniciam ataques de mineração de criptomoedas quando esperam que você esteja menos vigilante, como fins de semana, feriados e à noite.
Designar seus contatos essenciais para segurança e, em seguida, monitorar o endereço de e-mail dos contatos essenciais são uma prática recomendada e um requisito do Programa de proteção contra mineração de criptomoedas do Security Command Center.
Manter as permissões necessárias do IAM
Suas equipes de segurança e o próprio Security Command Center exigem autorização para acessar recursos no ambiente do Google Cloud. Use o Identity and Access Management (IAM) para gerenciar a autenticação e a autorização.
Como prática recomendada e, no caso do Security Command Center, um requisito básico, é necessário manter ou preservar os papéis e as permissões do IAM necessários para detectar e responder a ataques de mineração de criptomoedas.
Para informações gerais sobre o IAM no Google Cloud, consulte Visão geral do IAM.
Autorizações exigidas pelas equipes de segurança
Para visualizar as descobertas do Security Command Center e responder imediatamente a um ataque de mineração de criptomoedas ou outro problema de segurança no Google Cloud, as contas de usuário do Google Cloud da sua equipe de segurança precisam ser autorizadas com antecedência para responder, corrigir e investigar os problemas que possam surgir.
No Google Cloud, é possível gerenciar a autenticação e a autorização usando papéis e permissões do IAM.
Papéis necessários para trabalhar com o Security Command Center
Para informações sobre os papéis do IAM que os usuários precisam para trabalhar com o Security Command Center, consulte Controle de acesso com o IAM.
Papéis necessários para trabalhar com outros serviços do Google Cloud
Para investigar adequadamente um ataque de mineração de criptomoedas, você provavelmente precisará de outros papéis do IAM, como papéis do Compute Engine, que permitem visualizar e gerenciar a instância de VM afetada e os aplicativos em execução nela.
Dependendo do local de onde a investigação de um ataque leva, também pode ser necessário usar outros papéis, como papéis de rede do Compute Engine ou papéis do Cloud Logging.
Você também precisa das permissões de IAM adequadas para criar e gerenciar os contatos essenciais com segurança. Para informações sobre os papéis do IAM necessários para gerenciar contatos de segurança, consulte Papéis obrigatórios.
Autorizações exigidas pelo Security Command Center
Quando você ativa o Security Command Center, o Google Cloud cria automaticamente uma conta de serviço que o Security Command Center usa para autenticação e autorização ao executar verificações e processar registros. Durante o processo de ativação, confirme as permissões concedidas à conta de serviço.
Não remova ou modifique essa conta de serviço, os respectivos papéis ou permissões.
Confirmar a implementação das práticas recomendadas de detecção de mineração de criptomoedas
Você pode saber se sua organização implementa as práticas recomendadas para detectar mineração de criptomoedas executando um script que verifica os metadados da organização. O script está disponível no GitHub.
Para revisar o README e fazer o download do script, consulte Script de validação das práticas recomendadas de detecção de mineração de criptomoedas de SCC.