本頁說明如何偵測 Google Cloud 環境中 Compute Engine 虛擬機器 (VM) 的加密貨幣挖礦 (加密貨幣挖礦) 攻擊,並提供相關最佳做法。
這些最佳做法也是Google Cloud 加密貨幣挖礦防護計畫的資格規定。如要進一步瞭解這項計畫,請參閱 Security Command Center 的加密貨幣挖礦防護計畫簡介。
為貴機構啟用 Security Command Center 的進階或 Enterprise 級別
啟用 Security Command Center 進階方案或 Enterprise 方案,是偵測Google Cloud加密貨幣挖礦攻擊的基本要素。
Premium 和 Enterprise 層級的兩項威脅偵測服務對於偵測加密貨幣挖礦攻擊至關重要:Event Threat Detection 和 VM Threat Detection。
由於加密貨幣挖礦攻擊可能會發生在貴機構內任何專案的任何 VM 上,因此啟用 Security Command Center Premium 或 Enterprise 方案,並為整個機構啟用事件威脅偵測和 VM 威脅偵測功能,不僅是最佳做法,也是 Security Command Center 加密貨幣挖礦防護計畫的必要條件。
詳情請參閱「啟用 Security Command Center 的簡介」或「啟用 Security Command Center Enterprise 方案」。
在所有專案中啟用主要威脅偵測服務
在貴機構的所有專案中,啟用 Security Command Center 的 Event Threat Detection 和 VM Threat Detection 偵測服務。
Event Threat Detection 和 VM Threat Detection 會共同偵測可能導致加密貨幣挖礦攻擊的事件 (第 0 階段事件),以及表示攻擊正在進行中的事件 (第 1 階段事件)。以下各節將說明這些偵測服務偵測到的特定事件。
如要瞭解詳情,請參考下列資源:
啟用第 0 階段事件偵測
第 0 階段事件:環境中的事件,通常是常見加密貨幣挖礦攻擊的前兆或第一步。
Event Threat Detection 是 Security Command Center Premium 或 Enterprise 提供的偵測服務,會在偵測到特定第 0 階段事件時產生發現結果,提醒您注意。
如果能快速偵測及修正這些問題,就能在產生大量費用前,防範許多挖礦攻擊。
Event Threat Detection 會使用下列發現項目類別,針對這些事件發出快訊:
- Account_Has_Leaked_Credentials: 如果發現屬於這個類別,表示 GitHub 上洩漏了服務帳戶金鑰。取得服務帳戶憑證是加密貨幣挖礦攻擊的常見前兆。
- 規避:來自匿名 Proxy 的存取: 這個類別的發現項目表示,對Google Cloud 服務的修改來自與 Tor 網路相關聯的 IP 位址。
- 初始存取權:休眠服務帳戶動作: 這個類別的發現項目表示休眠服務帳戶在您的環境中採取行動。Security Command Center 會使用 Policy Intelligence 偵測閒置帳戶。
啟用第 1 階段事件偵測
第 1 階段事件:這類事件表示您的 Google Cloud 環境中正在執行加密貨幣挖礦應用程式。
Event Threat Detection 和 VM Threat Detection 都會產生 Security Command Center 發現結果,以便在偵測到特定第 1 階段事件時通知您。
請立即調查並修正這些發現,以免因加密貨幣挖礦應用程式耗用資源而產生高額費用。
如果發現下列任一類別的結果,表示您的 Google Cloud 環境中某個專案的 VM 正在執行加密貨幣挖礦應用程式:
- 執行:加密貨幣挖礦 YARA 規則: 這類發現項目表示 VM 威脅偵測功能偵測到記憶體模式,例如加密貨幣挖礦應用程式使用的工作量證明常數。
- 執行:加密貨幣挖礦雜湊比對: 這類發現項目表示 VM 威脅偵測服務偵測到加密貨幣挖礦應用程式使用的記憶體雜湊。
- 執行:聯合偵測: 這個類別的發現項目表示 VM 威脅偵測功能偵測到加密貨幣挖礦應用程式使用的記憶體模式和記憶體雜湊。
- 惡意軟體:無效 IP: 這類發現結果表示 Event Threat Detection 偵測到與已知用於加密貨幣挖礦應用程式的 IP 位址建立連線,或查詢該位址。
- 惡意軟體:無效網域: 這個類別的發現項目表示 Event Threat Detection 偵測到與某個網域的連線或查詢,而該網域已知用於加密貨幣挖礦應用程式。
啟用 Cloud DNS 記錄
如要偵測加密貨幣挖礦應用程式對已知惡意網域發出的呼叫,請啟用 Cloud DNS 記錄。Event Threat Detection 會處理 Cloud DNS 記錄,並在偵測到用於加密貨幣挖礦集區的網域解析時,產生調查結果。
將 SIEM 和 SOAR 產品與 Security Command Center 整合
將 Security Command Center 與現有的資安營運工具 (例如 SIEM 或 SOAR 產品) 整合,以分類及回應 Security Command Center 發現項目,瞭解第 0 階段和第 1 階段事件是否顯示潛在或實際的加密貨幣挖礦攻擊。
如果您的安全團隊未使用 SIEM 或 SOAR 產品,團隊就必須熟悉如何在 Google Cloud 控制台中處理 Security Command Center 發現項目,以及如何使用 Pub/Sub 或 Security Command Center API 設定發現項目通知和匯出功能,有效將加密貨幣挖礦攻擊的發現項目轉送至適當位置。
如要瞭解如何將特定調查結果匯出至安全作業工具,請參閱「在所有專案中啟用重要威脅偵測服務」。
如要瞭解如何將 SIEM 和 SOAR 產品與 Security Command Center 整合,請參閱設定 SIEM 和 SOAR 整合。
如要瞭解如何設定發現通知或匯出,請參閱下列資訊:
指定接收安全性通知的重要聯絡人
為確保貴公司能盡快回應 Google 的任何安全通知,請指定貴公司中應接收安全通知的團隊,例如 IT 安全或作業安全團隊。 Google Cloud 指定團隊時,請在「重要聯絡人」中輸入團隊的電子郵件地址。
為確保這些通知能長期穩定傳送,我們強烈建議團隊將通知傳送至郵寄清單、群組或其他機制,確保通知能穩定傳送及發布至貴機構的負責團隊。建議您不要將個人電子郵件地址指定為重要聯絡人,因為如果這些人調職或離職,通訊可能會中斷。
設定緊急聯絡人後,請確保安全團隊持續監控電子郵件收件匣。持續監控是重要的最佳做法,因為攻擊者經常會在您較不警覺時發動加密貨幣挖礦攻擊,例如週末、假日和夜間。
指定安全性的必要聯絡人,然後監控必要聯絡人的電子郵件地址,這兩項做法都是最佳做法,也是 Security Command Center 加密貨幣挖礦防護計畫的要求。
維持必要的 IAM 權限
您的安全團隊和 Security Command Center 本身都需要授權,才能存取 Google Cloud 環境中的資源。您可以使用 Identity and Access Management (IAM) 管理驗證和授權。
最佳做法是維護或保留偵測及因應加密貨幣挖礦攻擊所需的 IAM 角色和權限,這也是 Security Command Center 的基本要求。
如要瞭解 Google Cloud上的 IAM 一般資訊,請參閱 IAM 總覽。
安全團隊要求的授權
如要查看 Security Command Center 發現項目,並立即回應 Google Cloud上的加密貨幣挖礦攻擊或其他安全性問題,請預先授權安全人員的 Google Cloud 使用者帳戶,以便回應、修正及調查可能發生的問題。
在 Google Cloud中,您可以使用 IAM 角色和權限管理驗證和授權。
使用 Security Command Center 時所需的角色
如要瞭解使用者需要哪些 IAM 角色才能使用 Security Command Center,請參閱「使用 IAM 控管存取權」。
使用其他 Google Cloud 服務時所需的角色
如要妥善調查加密貨幣挖礦攻擊事件,您可能需要其他 IAM 角色,例如 Compute Engine 角色,以便查看及管理受影響的 VM 執行個體,以及在該執行個體上執行的應用程式。
視攻擊調查結果而定,您可能也需要其他角色,例如 Compute Engine 網路角色或 Cloud Logging 角色。
此外,您還需要適當的 IAM 權限,才能建立及管理安全性的重要聯絡人。如要瞭解管理安全聯絡人所需的 IAM 角色,請參閱「必要角色」。
Security Command Center 必須具備的授權
啟用 Security Command Center 時,系統會 Google Cloud 自動建立服務帳戶,供 Security Command Center 在執行掃描和處理記錄時,用於驗證和授權。在啟用過程中,您會確認授予服務帳戶的權限。
請勿移除或修改這個服務帳戶、其角色或權限。
確認是否已導入加密貨幣挖礦偵測最佳做法
您可以執行指令碼來檢查貴機構的中繼資料,確認是否採用偵測加密貨幣挖礦的最佳做法。您可以在 GitHub 取得指令碼。
如要查看 README 及下載指令碼,請參閱「SCC 加密貨幣挖礦偵測最佳做法驗證指令碼」。