Nesta página, explicamos as práticas recomendadas para detectar ataques de mineração de criptomoedas (criptomineração) em máquinas virtuais (VMs) do Compute Engine no ambiente do Google Cloud.
Essas práticas recomendadas também servem como requisitos de qualificação para o programa de proteção contra criptomineração do Google Cloud. Para mais informações, consulte a visão geral do Programa de Proteção de Criptografia de Security do Security Command Center.
Ative o nível Premium ou Enterprise do Security Command Center na sua organização
A ativação dos níveis Premium ou Enterprise do Security Command Center é um elemento fundamental para detectar ataques de mineração de criptomoedas Google Cloud.
Dois serviços de detecção de ameaças dos níveis Premium e Enterprise são essenciais para a detecção de ataques de mineração de criptomoedas: detecção de ameaças a eventos e Detecção de ameaças à VM.
Como ataques de mineração de criptomoedas podem ocorrer em qualquer VM de qualquer projeto da sua organização, ativando o Security Command Center Premium ou Enterprise para toda a sua organização com a Detecção de ameaças a eventos e a Detecção de ameaças a VMs ativadas é uma prática recomendada e um requisito do Security Command Center Programa de Proteção à Criptomineração.
Para mais informações, consulte Visão geral da ativação do Security Command Center.
Ativar serviços de detecção de ameaças de chave em todos os projetos
Ativar os serviços de detecção de ameaças a eventos e de detecção de ameaças a VMs do Security Command Center em todos os projetos da organização.
Juntos, o Event Threat Detection e o VM Threat Detection detectam eventos que podem levar a um ataque de criptomineração (eventos no estágio 0) e eventos que indicam que um ataque está em andamento (eventos no estágio 1). Os eventos específicos detectados pelos serviços de detecção são descritos nas seções a seguir.
Para ver mais informações, consulte os seguintes tópicos:
Ativar detecção de eventos do estágio 0
Eventos de estágio 0 são eventos no ambiente que geralmente precedem ou são a primeira etapa de ataques comuns de criptomineração.
de detecção de ameaças a eventos, um serviço de detecção disponível com o Security Command Center Premium ou Enterprise, emite descobertas para alertar você quando elas são detectadas certos eventos de estágio 0.
Se for possível detectar e corrigir esses problemas rapidamente, será possível evitar muitos ataques de criptomineração antes de gerar custos significativos.
O Event Threat Detection usa as seguintes categorias de descoberta para alertar você sobre esses eventos:
- Account_Has_Leaked_Credentials: uma descoberta nessa categoria indica que uma chave de conta de serviço vazou no GitHub. A aquisição de credenciais de conta de serviço é um precursor comum de ataques de criptomineração.
- Evasão: acesso a partir do proxy anônimo: uma descoberta nessa categoria indica que uma modificação em um serviço do Google Cloud se originou de um proxy anônimo, como um nó de saída.
- Acesso inicial: ação da conta de serviço inativa: uma descoberta nessa categoria indica que uma conta de serviço inativa executou uma ação no seu ambiente. O Security Command Center usa o Policy Intelligence para detectar contas inativas.
Ativar detecção de eventos do cenário 1
Os eventos do Estágio 1 indicam que um programa de aplicativos de criptomineração está sendo executado no ambiente do Google Cloud.
Tanto o Event Threat Detection quanto o VM Threat Detection emitem descobertas do Security Command Center para alertá-lo quando detectarem determinados eventos de estágio 1.
Investigue e corrija essas descobertas imediatamente para evitar custos significativos associados ao consumo de recursos de aplicativos de mineração de criptomineração.
Uma descoberta em qualquer uma das categorias a seguir indica que um aplicativo de mineração de criptomineração está sendo executado em uma VM em um dos projetos no seu ambiente do Google Cloud:
- Execução: regra YARA de criptomineração : As descobertas nesta categoria indicam que o VM Threat Detection detectou um padrão de memória, como uma constante de prova de trabalho, que é usado por um aplicativo de mineração de criptomineração.
- Execução: correspondência de hash de criptomineração: as descobertas nesta categoria indicam que a detecção de ameaças de VM detectou um hash de memória usado por um aplicativo de criptomineração.
- Execução: detecção combinada: as descobertas nesta categoria indicam que a detecção de ameaças da VM detectou um padrão de memória e um hash de memória usados por um aplicativo de criptomineração.
- Malware: IP inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um endereço IP conhecido como usado por aplicativos de criptomineração.
- Malware: domínio inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um domínio conhecido por uso de criptomineração. aplicativos.
Ativar a geração de registros do Cloud DNS
Para detectar chamadas feitas por aplicativos de criptomineração para domínios inválidos conhecidos, ative o Cloud DNS Logging. O Event Threat Detection processa os registros do Cloud DNS e emite descobertas quando detecta a resolução de um domínio conhecido por ser usado para pools de criptomineração.
Integre seus produtos SIEM e SOAR com o Security Command Center
Integre o Security Command Center às ferramentas de operações de segurança atuais, como os produtos SIEM ou SOAR, para fazer a triagem e responder às destinações do Security Command Center para eventos "stage-0" e "stage-1" que indicam possíveis ou ataques de criptomineração reais.
Se sua equipe de segurança não usa um produto SIEM ou SOAR, ela precisa saber trabalhar com as descobertas do Security Command Center no console do Google Cloud e como configurar notificações de descoberta e exportações usando o Pub/Sub ou as APIs do Security Command Center para rotear descobertas de ataques de mineração de criptomoedas.
Para as descobertas específicas que você precisa exportar para suas operações de segurança ferramentas, consulte Ativar os principais serviços de detecção de ameaças em todos os projetos.
Para mais informações sobre como integrar produtos SIEM e SOAR com o Security Command Center, consulte Como configurar integrações SIEM e SOAR.
Para mais informações sobre como configurar notificações ou exportações de localização, consulte a seguintes informações:
- Como ativar notificações de chat e e-mail em tempo real
- Ativar as notificações de descoberta do Pub/Sub
Designe seus contatos essenciais para notificações de segurança
para que sua empresa possa responder o mais rápido possível a qualquer notificações do Google, especificar para o Google Cloud quais equipes na sua empresa, como segurança de TI ou de operações, devem receber notificações de segurança. Ao especificar uma equipe, insira o endereço de e-mail dela nos Contatos essenciais.
Para garantir a entrega confiável dessas notificações ao longo do tempo, recomendamos que as equipes configurem a entrega para uma lista de e-mails, um grupo ou outro mecanismo que garanta a consistência da entrega e distribuição para a equipe responsável da sua organização. Recomendamos que você não especifique os endereços de e-mail de indivíduos como contatos essenciais, porque a comunicação poderá ser interrompida se os indivíduos mudarem de equipe ou saírem da empresa.
Depois de configurar os contatos essenciais, verifique se a caixa de entrada de e-mail é monitorada continuamente pelas equipes de segurança. Monitoramento contínuo é uma prática recomendada essencial, porque os adversários frequentemente ataques de mineração de criptomoedas quando esperam que você fique menos vigilante, como nos fins de semana, feriados e à noite.
Designar os contatos essenciais para a segurança e, em seguida, monitorar o endereço de e-mail dos contatos essenciais, são ambos uma prática recomendada e um requisito do Security Command Center Programa de Proteção à Criptomineração.
Manter as permissões necessárias do IAM
Suas equipes de segurança e o próprio Security Command Center precisam de autorização para acessar recursos no ambiente do Google Cloud. Você gerencia usando o Identity and Access Management (IAM).
Como prática recomendada e, no caso do Security Command Center, um é necessário manter ou preservar o IAM as permissões e os papéis necessários para detectar e responder à mineração de criptomoedas ataques.
Para informações gerais sobre o IAM no Google Cloud, consulte a visão geral do IAM.
Autorizações exigidas pelas equipes de segurança
Para visualizar as descobertas do Security Command Center e responder imediatamente a um ataque de mineração de criptomoedas ou outro problema de segurança no Google Cloud, as contas de usuário do Google Cloud da sua o pessoal de segurança precisa receber autorização prévia para responder corrigir e investigar os problemas que possam surgir.
No Google Cloud, é possível gerenciar a autenticação e a autorização usando permissões e papéis do IAM.
Papéis necessários para trabalhar com o Security Command Center
Para saber mais sobre os papéis do IAM que os usuários precisam trabalhar com o Security Command Center, consulte Controle de acesso com o IAM.
Papéis necessários para trabalhar com outros serviços do Google Cloud
Para investigar adequadamente um ataque de mineração de criptomoedas, você vai precisar outros papéis do IAM, como Papéis do Compute Engine que permitem visualizar e gerenciar a instância de VM afetada e as aplicativos em execução nele.
Dependendo de onde a investigação de um ataque leva, pode ser necessário outros papéis também, como papéis de rede do Compute Engine ou os papéis do Cloud Logging.
Você também precisa das devidas permissões do IAM para criar e gerenciar seus Contatos essenciais por segurança. Para informações sobre os papéis do IAM necessários para para gerenciar contatos de segurança, consulte Papéis obrigatórios.
Autorizações exigidas pelo Security Command Center
Quando você ativa o Security Command Center, o Google Cloud cria uma conta de serviço que o Security Command Center usa para autenticação e autorização ao executar verificações e ou de sistemas operacionais de contêineres. Durante o processo de ativação, você confirma as permissões que são concedidos à conta de serviço.
Não remova ou modifique essa conta de serviço, os respectivos papéis ou permissões.
Confirmar a implementação das práticas recomendadas de detecção de mineração de criptomoedas
Você pode saber se sua organização implementa as práticas recomendadas para detectar mineração de criptomoedas executando um script que verifica os metadados da organização. O script está disponível no GitHub.
Para revisar o README e fazer o download do script, consulte Script de validação das práticas recomendadas de detecção de mineração de criptomoedas de SCC.