Nesta página, explicamos as práticas recomendadas para detectar ataques de mineração de criptomoedas (criptomineração) em máquinas virtuais (VMs) do Compute Engine no ambiente do Google Cloud.
Essas práticas recomendadas também servem como requisitos de qualificação para o programa de proteção contra criptomineração do Google Cloud. Para mais informações sobre o programa, consulte a visão geral do Programa de Proteção de Criptografia do Security Command Center.
Ative o nível Premium ou Enterprise do Security Command Center para sua organização
A ativação do nível Premium ou Enterprise do Security Command Center é um elemento fundamental para detectar ataques de criptomineração no Google Cloud.
Dois serviços de detecção de ameaças dos níveis Premium e Enterprise são essenciais para a detecção de ataques de criptomineração: Event Threat Detection e VM Threat Detection.
Como os ataques de criptomineração podem ocorrer em qualquer VM em qualquer projeto da organização, ativar o Security Command Center Premium ou Enterprise para toda a organização com a Detecção de ameaças de eventos e a Detecção de ameaças à VM ativadas é uma prática recomendada e um requisito do programa de proteção contra criptomineração do Security Command Center.
Para mais informações, consulte Visão geral da ativação do Security Command Center.
Ativar serviços de detecção de ameaças de chave em todos os projetos
Ative os serviços de detecção de ameaças de eventos e de ameaças à VM do Security Command Center em todos os projetos da organização.
Juntos, o Event Threat Detection e o VM Threat Detection detectam eventos que podem levar a um ataque de criptomineração (eventos no estágio 0) e eventos que indicam que um ataque está em andamento (eventos no estágio 1). Os eventos específicos detectados pelos serviços de detecção são descritos nas seções a seguir.
Para ver mais informações, consulte os seguintes tópicos:
Ativar detecção de eventos do estágio 0
Eventos de estágio 0 são eventos no ambiente que geralmente precedem ou são a primeira etapa de ataques comuns de criptomineração.
O Event Threat Detection, um serviço de detecção disponível com o Security Command Center Premium ou Enterprise, emite descobertas para alertar você quando detecta determinados eventos de estágio 0.
Se for possível detectar e corrigir esses problemas rapidamente, será possível evitar muitos ataques de criptomineração antes de gerar custos significativos.
O Event Threat Detection usa as seguintes categorias de descoberta para alertar você sobre esses eventos:
- Account_Has_Leaked_Credentials: uma descoberta nessa categoria indica que uma chave de conta de serviço vazou no GitHub. A aquisição de credenciais de conta de serviço é um precursor comum de ataques de criptomineração.
- Evasão: acesso a partir do proxy anônimo: uma descoberta nessa categoria indica que uma modificação em um serviço do Google Cloud se originou de um proxy anônimo, como um nó de saída.
- Acesso inicial: ação da conta de serviço inativa: uma descoberta nessa categoria indica que uma conta de serviço inativa executou uma ação no seu ambiente. O Security Command Center usa o Policy Intelligence para detectar contas inativas.
Ativar detecção de eventos do cenário 1
Os eventos do Estágio 1 indicam que um programa de aplicativos de criptomineração está sendo executado no ambiente do Google Cloud.
Tanto o Event Threat Detection quanto o VM Threat Detection emitem descobertas do Security Command Center para alertá-lo quando detectarem determinados eventos de estágio 1.
Investigue e corrija essas descobertas imediatamente para evitar custos significativos associados ao consumo de recursos de aplicativos de mineração de criptomineração.
Uma descoberta em qualquer uma das categorias a seguir indica que um aplicativo de mineração de criptomineração está sendo executado em uma VM em um dos projetos no seu ambiente do Google Cloud:
- Execução: regra YARA de criptomineração : As descobertas nesta categoria indicam que o VM Threat Detection detectou um padrão de memória, como uma constante de prova de trabalho, que é usado por um aplicativo de mineração de criptomineração.
- Execução: correspondência de hash de criptomineração: as descobertas nesta categoria indicam que a detecção de ameaças de VM detectou um hash de memória usado por um aplicativo de criptomineração.
- Execução: detecção combinada: as descobertas nesta categoria indicam que a detecção de ameaças da VM detectou um padrão de memória e um hash de memória usados por um aplicativo de criptomineração.
- Malware: IP inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um endereço IP conhecido como usado por aplicativos de criptomineração.
- Malware: domínio inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um domínio conhecido por uso de criptomineração. aplicativos.
Ativar a geração de registros do Cloud DNS
Para detectar chamadas feitas por aplicativos de criptomineração para domínios inválidos conhecidos, ative o Cloud DNS Logging. O Event Threat Detection processa os registros do Cloud DNS e emite descobertas quando detecta a resolução de um domínio conhecido por ser usado para pools de criptomineração.
Integre seus produtos SIEM e SOAR com o Security Command Center
Integre o Security Command Center às ferramentas de operações de segurança atuais, como os produtos SIEM ou SOAR, para fazer a triagem e responder às destinações do Security Command Center para eventos "stage-0" e "stage-1" que indicam possíveis ou ataques de criptomineração reais.
Se a equipe de segurança não usa um produto SIEM ou SOAR, ela precisa se familiarizar com o trabalho com as descobertas do Security Command Center no console do Google Cloud e como configurar notificações de descobertas e exportações usando o Pub/Sub ou as APIs do Security Command Center para encaminhar as descobertas de ataques de mineração de criptomoedas de maneira eficaz.
Para as descobertas específicas que você precisa exportar para suas ferramentas de operações de segurança, consulte Ativar serviços de detecção de ameaças de chave em todos os projetos.
Para saber como integrar produtos SIEM e SOAR ao Security Command Center, consulte Como configurar integrações de SIEM e SOAR.
Para saber como configurar notificações de localização ou exportações, consulte as seguintes informações:
- Como ativar notificações de chat e e-mail em tempo real
- Ativar as notificações de descoberta do Pub/Sub
Designar seus contatos essenciais para notificações de segurança
Para que sua empresa possa responder o mais rápido possível a qualquer notificação de segurança do Google, especifique ao Google Cloud quais equipes da sua empresa, como segurança de TI ou segurança operacional, devem receber notificações de segurança. Ao especificar uma equipe, insira o endereço de e-mail dela nos Contatos essenciais.
Para garantir a entrega confiável dessas notificações ao longo do tempo, recomendamos que as equipes configurem a entrega para uma lista de e-mails, um grupo ou outro mecanismo que garanta a consistência da entrega e distribuição para a equipe responsável da sua organização. Recomendamos que você não especifique os endereços de e-mail de indivíduos como contatos essenciais, porque a comunicação poderá ser interrompida se os indivíduos mudarem de equipe ou saírem da empresa.
Depois de configurar os contatos essenciais, verifique se a caixa de entrada de e-mail é monitorada continuamente pelas equipes de segurança. O monitoramento contínuo é uma prática recomendada importante, porque os invasores geralmente iniciam ataques de mineração de criptomoedas quando esperam que você esteja menos vigilante, como nos fins de semana, feriados e à noite.
Designar seus contatos essenciais para segurança e monitorar o endereço de e-mail deles são práticas recomendadas e um requisito do programa de proteção contra mineração de criptomoedas do Security Command Center.
Manter as permissões necessárias do IAM
Suas equipes de segurança e o próprio Security Command Center precisam de autorização para acessar recursos no ambiente do Google Cloud. Você gerencia a autenticação e a autorização usando o Identity and Access Management (IAM).
Como prática recomendada e, no caso do Security Command Center, um requisito básico, é necessário manter ou preservar os papéis e as permissões do IAM necessários para detectar e responder a ataques de mineração de criptomoedas.
Para informações gerais sobre o IAM no Google Cloud, consulte a Visão geral do IAM.
Autorizações exigidas pelas equipes de segurança
Para poder conferir as descobertas do Security Command Center e responder imediatamente a um ataque de mineração de criptomoedas ou a outros problemas de segurança no Google Cloud, as contas de usuário do Google Cloud do seu pessoal de segurança precisam ser autorizadas com antecedência para responder, remediar e investigar os problemas que possam surgir.
No Google Cloud, é possível gerenciar a autenticação e a autorização usando papéis e permissões do IAM.
Papéis necessários para trabalhar com o Security Command Center
Para informações sobre os papéis do IAM que os usuários precisam para trabalhar com o Security Command Center, consulte Controle de acesso com o IAM.
Papéis necessários para trabalhar com outros serviços do Google Cloud
Para investigar adequadamente um ataque de criptomineração, é provável que você precise de outros papéis do IAM, como papéis do Compute Engine, que permitem visualizar e gerenciar a instância de VM afetada e os aplicativos que estão sendo executados nela.
Dependendo de onde a investigação de um ataque leva, talvez você precise de outros papéis, como papéis de rede do Compute Engine ou papéis do Cloud Logging.
Você também precisa das permissões adequadas do IAM para criar e gerenciar seus Contatos essenciais para segurança. Para informações sobre os papéis do IAM necessários para gerenciar contatos de segurança, consulte Papéis obrigatórios.
Autorizações exigidas pelo Security Command Center
Quando você ativa o Security Command Center, o Google Cloud cria automaticamente uma conta de serviço que o Security Command Center usa para autenticação e autorização ao executar verificações e processar logs. Durante o processo de ativação, você confirma as permissões concedidas à conta de serviço.
Não remova ou modifique essa conta de serviço, os respectivos papéis ou permissões.
Confirmar a implementação das práticas recomendadas de detecção de mineração de criptomoedas
Você pode saber se sua organização implementa as práticas recomendadas para detectar mineração de criptomoedas executando um script que verifica os metadados da organização. O script está disponível no GitHub.
Para revisar o README
e fazer o download do script, consulte Script de validação das práticas recomendadas de detecção de mineração de criptomoedas de SCC.