Esta página explica as práticas recomendadas para detetar ataques de mineração de criptomoedas (criptomineração) em máquinas virtuais (VMs) do Compute Engine no seu Google Cloud ambiente.
Estas práticas recomendadas também servem como requisitos de elegibilidade para o Google Cloud Programa de proteção contra a mineração de criptomoedas. Para mais informações acerca do programa, consulte o Centro de comandos de segurança Vista geral do Programa de proteção contra a mineração de criptomoedas.
Ative o nível Premium ou Enterprise do Security Command Center para a sua organização
A ativação do nível Premium ou Enterprise do Security Command Center é um elemento fundamental para detetar ataques de mineração de criptomoedas no Google Cloud.
Dois serviços de deteção de ameaças dos níveis Premium e Enterprise são essenciais para detetar ataques de mineração de criptomoedas: Event Threat Detection e VM Threat Detection.
Uma vez que os ataques de mineração de criptomoedas podem ocorrer em qualquer VM em qualquer projeto na sua organização, a ativação do Security Command Center Premium ou Enterprise para toda a sua organização com a Deteção de ameaças de eventos e a Deteção de ameaças de VMs ativadas é uma prática recomendada e um requisito do Programa de Proteção contra a mineração de criptomoedas do Security Command Center.
Para mais informações, consulte o artigo Vista geral da ativação do Security Command Center ou Ative o nível Enterprise do Security Command Center.
Ative os serviços de deteção de ameaças principais em todos os projetos
Ative os serviços de deteção Event Threat Detection e VM Threat Detection do Security Command Center em todos os projetos da sua organização.
Em conjunto, a Deteção de ameaças de eventos e a Deteção de ameaças de VMs detetam eventos que podem originar um ataque de mineração de criptomoedas (eventos de fase 0) e eventos que indicam que um ataque está em curso (eventos de fase 1). Os eventos específicos que estes serviços de deteção detetam são descritos nas secções seguintes.
Para mais informações, consulte o seguinte:
Ative a deteção de eventos de nível 0
Os eventos de fase 0 são eventos no seu ambiente que, muitas vezes, precedem ou são o primeiro passo de ataques de mineração de criptomoedas comuns.
A Deteção de ameaças de eventos, um serviço de deteção disponível com o Security Command Center Premium ou Enterprise, gera resultados para alertar quando deteta determinados eventos de fase 0.
Se conseguir detetar e corrigir estes problemas rapidamente, pode evitar muitos ataques de mineração de criptomoedas antes de incorrer em custos significativos.
A Deteção de ameaças de eventos usa as seguintes categorias de resultados para enviar alertas sobre estes eventos:
- Account_Has_Leaked_Credentials: Uma descoberta nesta categoria indica que uma chave da conta de serviço foi divulgada no GitHub. A aquisição de credenciais de contas de serviço é um precursor comum de ataques de mineração de criptomoedas.
- Evasão: acesso a partir de proxy de anonimização: Uma descoberta nesta categoria indica que uma modificação a um Google Cloud serviço teve origem num endereço IP associado à rede Tor.
- Acesso inicial: ação da conta de serviço inativa: uma descoberta nesta categoria indica que uma conta de serviço inativa tomou medidas no seu ambiente. O Security Command Center usa a inteligência de políticas para detetar contas inativas.
Ative a deteção de eventos de fase 1
Os eventos de fase 1 são eventos que indicam que um programa de aplicação de mineração de criptomoedas está a ser executado no seu Google Cloud ambiente.
A deteção de ameaças de eventos e a deteção de ameaças de VMs geram resultados do Security Command Center para lhe enviar alertas quando detetam determinados eventos de fase 1.
Investigue e corrija estas conclusões imediatamente para evitar incorrer em custos significativos associados ao consumo de recursos das aplicações de mineração de criptomoedas.
Uma descoberta em qualquer uma das seguintes categorias indica que uma aplicação de mineração de criptomoedas está a ser executada numa VM num dos projetos no seu ambiente Google Cloud :
- Execução: regra YARA de mineração de criptomoedas: As conclusões nesta categoria indicam que a deteção de ameaças da VM detetou um padrão de memória, como uma constante de prova de trabalho, que é usado por uma aplicação de mineração de criptomoedas.
- Execução: correspondência de hash de mineração de criptomoedas: As conclusões nesta categoria indicam que a deteção de ameaças de VMs detetou um hash de memória usado por uma aplicação de mineração de criptomoedas.
- Execução: deteção combinada: As conclusões nesta categoria indicam que a deteção de ameaças de VMs detetou um padrão de memória e um hash de memória que são usados por uma aplicação de mineração de criptomoedas.
- Software malicioso: IP incorreto: As conclusões nesta categoria indicam que a Deteção de ameaças de eventos detetou uma ligação ou uma pesquisa de um endereço IP conhecido por ser usado por aplicações de mineração de criptomoedas.
- Software malicioso: domínio inválido: as conclusões nesta categoria indicam que a Deteção de ameaças de eventos detetou uma ligação ou uma pesquisa de um domínio que se sabe ser usado por aplicações de mineração de criptomoedas.
Ative o registo do Cloud DNS
Para detetar chamadas feitas por aplicações de mineração de criptomoedas para domínios conhecidos como maus, ative o Registo do Cloud DNS. A Deteção de ameaças de eventos processa os registos do Cloud DNS e gera resultados quando deteta a resolução de um domínio que se sabe ser usado para pools de mineração de criptomoedas.
Integre os seus produtos SIEM e SOAR com o Security Command Center
Integre o Security Command Center com as suas ferramentas de operações de segurança existentes, como os produtos SIEM ou SOAR, para analisar e responder às conclusões do Security Command Center para eventos de fase 0 e fase 1 que indicam potenciais ou reais ataques de mineração de criptomoedas.
Se a sua equipa de segurança não usar um produto SIEM ou SOAR, tem de se familiarizar com o trabalho com as conclusões do Centro de Comando de Segurança na consola e como configurar notificações de conclusões e exportações através do Pub/Sub ou das APIs do Centro de Comando de Segurança para encaminhar conclusões de ataques de mineração de criptomoedas de forma eficaz. Google Cloud
Para as conclusões específicas que tem de exportar para as suas ferramentas de operações de segurança, consulte o artigo Ative os serviços de deteção de ameaças importantes em todos os projetos.
Para obter informações sobre como integrar produtos SIEM e SOAR com o Security Command Center, consulte o artigo Configurar integrações de SIEM e SOAR.
Para obter informações sobre a configuração de notificações de localização ou exportações, consulte as seguintes informações:
- Ativar notificações de email e chat em tempo real
- Ative as notificações de resultados para o Pub/Sub
Designe os seus contactos essenciais para receber notificações de segurança
Para que a sua empresa possa responder o mais rapidamente possível a quaisquer notificações de segurança da Google, especifique Google Cloud que equipas da sua empresa, como segurança de TI ou segurança de operações, devem receber notificações de segurança. Quando especifica uma equipa, introduz o respetivo endereço de email em Contactos essenciais.
Para garantir a entrega fiável destas notificações ao longo do tempo, recomendamos vivamente que as equipas configurem a entrega para uma lista de correio, um grupo ou outro mecanismo que garanta a consistência da entrega e da distribuição à equipa responsável na sua organização. Recomendamos que não especifique os endereços de email de indivíduos como contactos essenciais, uma vez que a comunicação pode ser interrompida se os indivíduos mudarem de equipa ou saírem da empresa.
Depois de configurar os contactos essenciais, certifique-se de que a caixa de entrada de email é monitorizada continuamente pelas suas equipas de segurança. A monitorização contínua é uma prática recomendada essencial, porque os adversários iniciam frequentemente ataques de mineração de criptomoedas quando esperam que esteja menos vigilante, como aos fins de semana, feriados e à noite.
Designar os seus contactos essenciais para segurança e, em seguida, monitorizar o endereço de email dos contactos essenciais são uma prática recomendada e um requisito do programa de proteção contra a mineração de criptomoedas do Security Command Center.
Mantenha as autorizações de IAM necessárias
As suas equipas de segurança e o próprio Security Command Center requerem autorização para aceder a recursos no ambiente Google Cloud . Gerir a autenticação e a autorização através da gestão de identidade e de acesso (IAM).
Como prática recomendada e, no caso do Security Command Center, um requisito básico, tem de manter ou preservar as funções e as autorizações do IAM necessárias para detetar e responder a ataques de mineração de criptomoedas.
Para informações gerais sobre o IAM no Google Cloud, consulte a vista geral do IAM.
Autorizações exigidas pelas suas equipas de segurança
Para poder ver as conclusões do Security Command Center e responder imediatamente a um ataque de mineração de criptomoedas ou a outro problema de segurança no Google Cloud, as contas de utilizador do seu pessoal de segurança têm de ser autorizadas antecipadamente para responder, corrigir e investigar os problemas que possam surgir. Google Cloud
No Google Cloud, pode gerir a autenticação e a autorização através de funções e autorizações do IAM.
Funções necessárias para trabalhar com o Security Command Center
Para obter informações sobre as funções de IAM de que os utilizadores precisam para trabalhar com o Security Command Center, consulte o artigo Controlo de acesso com a IAM.
Funções necessárias para trabalhar com outros serviços Google Cloud
Para investigar corretamente um ataque de mineração de criptomoedas, é provável que precise de outras funções do IAM, como funções do Compute Engine que lhe permitam ver e gerir a instância de VM afetada e as aplicações que estão a ser executadas na mesma.
Consoante o local para onde a investigação de um ataque aponta, também pode precisar de outras funções, como as funções de rede do Compute Engine ou as funções do Cloud Logging.
Também precisa das autorizações de IAM adequadas para criar e gerir os seus contactos essenciais para segurança. Para obter informações acerca das funções de IAM necessárias para gerir os contactos de segurança, consulte o artigo Funções necessárias.
Autorizações necessárias pelo Security Command Center
Quando ativa o Security Command Center, Google Cloud cria automaticamente uma conta de serviço que o Security Command Center usa para autenticação e autorização quando executa análises e processa registos. Durante o processo de ativação, confirma as autorizações concedidas à conta de serviço.
Não remova nem modifique esta conta de serviço, as respetivas funções ou autorizações.