이 페이지에서는 Google Cloud 환경의 Compute Engine 가상 머신(VM)에서 암호화폐 채굴 공격을 감지하기 위한 권장사항에 대해 설명합니다.
이 권장사항은 Google Cloud 암호화폐 채굴 보호 프로그램의 자격요건으로도 사용됩니다. 프로그램에 대한 자세한 내용은 Security Command Center 암호화폐 채굴 보호 프로그램 개요를 참조하세요.
조직에 Security Command Center 프리미엄 또는 엔터프라이즈 등급 활성화
Security Command Center 프리미엄 등급 또는 엔터프라이즈 등급 활성화는 Google Cloud에서 암호화폐 채굴 공격을 감지하기 위한 기본 요소입니다.
프리미엄 및 엔터프라이즈 등급의 두 가지 위협 감지 서비스인 Event Threat Detection 및 VM Threat Detection은 암호화폐 채굴 공격을 감지하는 데 매우 중요합니다.
암호화폐 채굴 공격은 조직 내 모든 프로젝트에 있는 모든 VM에서 발생할 수 있으므로 Event Threat Detection 및 VM Threat Detection을 사용 설정하여 전체 조직에 Security Command Center 프리미엄 또는 엔터프라이즈를 활성화하는 것이 가장 좋으며 이는 Security Command Center 암호화폐 채굴 보호 프로그램의 요구사항이기도 합니다.
자세한 내용은 Security Command Center 활성화 개요를 참조하세요.
모든 프로젝트에서 주요 위협 감지 서비스 사용 설정
조직의 모든 프로젝트에서 Security Command Center의 Event Threat Detection 및 VM Threat Detection 서비스를 사용 설정합니다.
Event Threat Detection과 VM Threat Detection은 암호화폐 채굴 공격으로 이어질 수 있는 이벤트(0단계 이벤트) 및 공격이 이미 진행 중임을 나타내는 이벤트(1단계 이벤트)를 감지합니다. 이러한 감지 서비스가 감지하는 특정 이벤트에 대한 설명은 다음 섹션을 참조하세요.
자세한 내용은 다음을 참조하세요.
0단계 이벤트 감지 사용 설정
0단계 이벤트는 해당 환경에서 일반적인 암호화폐 채굴 공격에 선행되거나 이러한 공격의 첫 번째 단계가 되는 이벤트입니다.
Security Command Center 프리미엄 또는 엔터프라이즈에서 제공하는 감지 서비스인 Event Threat Detection은 특정 0단계 이벤트가 감지되면 발견항목을 제공하여 이벤트를 알립니다.
이러한 문제를 빠르게 감지하고 해결할 수 있으면 상당한 비용이 발생하기 전에 많은 암호화폐 채굴 공격을 방지할 수 있습니다.
Event Threat Detection은 이러한 이벤트를 알리기 위해 다음과 같은 발견 항목 카테고리를 사용합니다.
- Account_Has_Leaked_Credentials: 이 카테고리의 발견 항목은 서비스 계정 키가 GitHub에서 누출되었음을 나타냅니다. 서비스 계정 사용자 인증 정보 획득은 암호화폐 채굴 공격의 일반적인 전조입니다.
- 회피: 익명 프록시에서 액세스: 이 카테고리의 발견 항목은 Google Cloud 서비스 수정이 Tor 종료 노드와 같이 익명 프록시에서 시작되었음을 나타냅니다.
- 초기 액세스: 휴면 서비스 계정 작업: 이 카테고리의 발견 항목은 해당 환경에서 휴면 서비스 계정으로부터 작업이 수행되었음을 나타냅니다. Security Command Center는 Policy Intelligence를 사용해서 휴면 계정을 감지합니다.
1단계 이벤트 감지 사용 설정
1단계 이벤트는 암호화폐 채굴 애플리케이션 프로그램이 your Google Cloud 환경에서 실행되고 있음을 나타냅니다.
Event Threat Detection 및 VM Threat Detection 모두 특정 1단계 이벤트가 감지되었을 때 이를 알리기 위해 Security Command Center에 발견 항목을 제공합니다.
암호화폐 채굴 애플리케이션의 리소스 소비로 인해 상당한 비용이 발생하지 않도록 방지하기 위해 이러한 발견 항목을 즉시 조사하고 해결해야 합니다.
다음 카테고리의 발견 항목은 암호화폐 채굴 애플리케이션이 해당 Google Cloud 환경에 있는 프로젝트 중 하나의 VM에서 실행되고 있음을 나타냅니다.
- 실행: 암호화폐 채굴 YARA 규칙: 이 카테고리의 발견 항목은 VM Threat Detection에서 작업 증명 상수와 같이 암호화폐 채굴 애플리케이션에 사용되는 메모리 패턴이 감지되었음을 나타냅니다.
- 실행: 암호화폐 채굴 해시 일치: 이 카테고리의 발견 항목은 VM Threat Detection에서 암호화폐 채굴 애플리케이션에 사용되는 메모리 해시가 감지되었음을 나타냅니다.
- 실행: 조합 탐지: 이 카테고리의 발견 항목은 VM Threat Detection에서 암호화폐 채굴 애플리케이션에 사용되는 메모리 패턴과 메모리 해시가 모두 감지되었음을 나타냅니다.
- 멀웨어: 잘못된 IP: 이 카테고리의 발견 항목은 Event Threat Detection에서 암호화폐 채굴 애플리케이션에 사용되는 것으로 알려진 IP 주소에 대한 연결 또는 조회가 감지되었음을 나타냅니다.
- 멀웨어: 잘못된 도메인: 이 카테고리의 발견 항목은 Event Threat Detection에서 암호화폐 채굴 애플리케이션에 사용되는 것으로 알려진 도메인에 대한 연결 또는 조회가 감지되었음을 나타냅니다.
Cloud DNS 로깅 사용 설정
암호화폐 채굴 애플리케이션이 알려진 잘못된 도메인에 대해 수행하는 호출을 감지하려면 Cloud DNS 로깅을 사용 설정합니다. Event Threat Detection은 Cloud DNS 로그를 처리하고 암호화폐 채굴 풀에 사용되는 것으로 알려진 도메인 확인이 감지되면 발견 항목을 제공합니다.
Security Command Center에 SIEM 및 SOAR 제품 통합
잠재적 또는 실제 암호화폐 채굴 공격을 나타내는 0단계 및 1단계 이벤트에 대해 Security Command Center 발견 항목을 분류하고 대응할 수 있도록 SIEM 또는 SOAR 제품과 같은 기존 보안 운영 도구에 Security Command Center를 통합합니다.
보안팀은 SIEM 또는 SOAR 제품을 사용하지 않는 경우에 Google Cloud 콘솔을 통해 Security Command Center 발견 항목을 처리하는 방법을 숙지하고, 발견 항목을 라우팅하기 위해 Pub/Sub 또는 Security Command Center API를 사용해서 암호화폐 채굴 공격에 대해 발견 항목 알림 및 내보내기를 효과적으로 구성하는 방법을 배워야 합니다.
보안 운영 도구로 내보내야 하는 특정 발견 항목에 대해서는 모든 프로젝트에서 주요 위협 감지 서비스 사용 설정을 참조하세요.
SIEM 및 SOAR 제품을 Security Command Center에 통합하는 방법은 SIEM 및 SOAR 통합 설정을 참조하세요.
발견 항목 알림 또는 내보내기를 설정하는 방법은 다음 정보를 참조하세요.
보안 알림을 위한 필수 연락처 지정
Google의 보안 알림에 대해 가능한 한 빠르게 대응할 수 있도록 IT 보안 또는 운영 보안과 같은 회사 내에서 보안 알림을 수신할 팀을 Google Cloud에 지정합니다. 팀을 지정할 때는 필수 연락처에 해당 이메일 주소를 입력합니다.
시간이 지나면서 이러한 알림을 안정적으로 전송할 수 있도록 조직의 담당 팀에 일관된 전송 및 배포를 보장하는 메일링 리스트, 그룹에 대한 전송 또는 기타 메커니즘을 구성하는 것이 좋습니다. 개인이 팀을 변경하거나 퇴사하면 연락이 중단될 수 있으므로 개인의 이메일 주소를 필수 연락처로 지정하지 않는 것이 좋습니다.
필수 연락처를 설정한 후에는 보안팀에서 해당 이메일 수신함이 지속적으로 모니터링되는지 확인합니다. 주말, 휴일 및 야간과 같이 사용자가 덜 경계할 것으로 예상되는 시간에 공격자가 암호화폐 채굴 공격을 시작하는 경우가 많기 때문에 지속적인 모니터링이 중요한 권장사항입니다.
보안을 위해 필수 연락처를 지정한 후 필수 연락처 이메일 주소를 모니터링하는 것은 권장사항이면서 동시에 Security Command Center 암호화폐 채굴 보호 프로그램의 요구사항이기도 합니다.
필요한 IAM 권한 유지
보안팀과 Security Command Center 자체는 Google Cloud 환경의 리소스에 액세스하기 위해 승인이 필요합니다. Identity and Access Management(IAM)를 사용해서 인증 및 승인을 관리합니다.
권장사항에 따라 그리고 Security Command Center의 경우에는 기본 요구사항으로서 암호화폐 채굴 공격을 감지하고 대응하는 데 필요한 IAM 역할 및 권한을 유지 관리하거나 보존해야 합니다.
Google Cloud의 IAM에 대한 일반 정보는 IAM 개요를 참조하세요.
보안팀에서 요구되는 승인
Google Cloud에서 암호화폐 채굴 공격 또는 기타 보안 문제에 대해 Security Command Center 발견 항목을 호가인하고 빠르게 대응하기 위해서는 해당 보안 관리자의 Google Cloud 사용자 계정이 발생 가능한 문제에 대응하고, 문제를 해결하고 조사할 수 있도록 미리 권한을 부여해야 합니다.
Google Cloud에서는 IAM 역할 및 권한을 사용해서 인증 및 승인을 관리할 수 있습니다.
Security Command Center 작업에 필요한 역할
사용자가 Security Command Center 작업을 수행하는 데 필요한 IAM 역할에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.
다른 Google Cloud 서비스 작업에 필요한 역할
암호화폐 채굴 공격을 올바르게 조사하기 위해서는 해당 VM 인스턴스와 여기에서 실행되는 애플리케이션을 보고 관리할 수 있도록 Compute Engine 역할과 같은 다른 IAM 역할이 필요할 수 있습니다.
공격 조사가 진행되는 위치에 따라 Compute Engine 네트워크 역할 또는 Cloud Logging 역할과 같은 다른 역할이 필요할 수 있습니다.
또한 보안 필수 연락처를 만들고 관리할 수 있도록 적절한 IAM 권한이 필요합니다. 보안 연락처 관리에 필요한 IAM 역할에 대한 자세한 내용은 필요한 역할을 참조하세요.
Security Command Center에 필요한 승인
Security Command Center를 활성화하면 스캔 실행 및 로그 처리 시 인증 및 승인을 위해 Security Command Center에 사용되는 서비스 계정이 Google Cloud에서 자동으로 생성됩니다. 활성화 프로세스 중에는 서비스 계정에 부여된 권한을 확인합니다.
이 서비스 계정, 역할 또는 권한은 삭제하거나 수정하지 않아야 합니다.
암호화폐 채굴 감지 권장사항 구현 확인
조직 메타데이터를 검사하는 스크립트를 실행하여 조직에서 암호화폐 채굴을 감지하는 권장사항이 구현되었는지 확인할 수 있습니다. 이 스크립트는 GitHub에서 제공됩니다.
README
를 검토하고 스크립트를 다운로드하려면 SCC 암호화폐 채굴 감지 권장사항 검증 스크립트를 참조하세요.