Dampak: Aktivitas penambangan kripto yang mencurigakan menggunakan Stratum Protocol

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Terdeteksi proses yang berkomunikasi melalui protokol Stratum, yang umumnya digunakan oleh software penambangan mata uang kripto. Aktivitas ini menunjukkan potensi operasi penambangan yang tidak sah dalam lingkungan container. Penyerang sering kali men-deploy penambang mata uang kripto untuk mengeksploitasi resource sistem demi mendapatkan keuntungan finansial, sehingga menyebabkan penurunan performa, peningkatan biaya operasional, dan potensi risiko keamanan. Mendeteksi aktivitas semacam itu membantu memitigasi penyalahgunaan resource dan akses tidak sah.

Deteksi Ancaman Cloud Run adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

1. Buka temuan Impact: Suspicious crypto mining activity using the Stratum Protocol seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

2. Di tab Ringkasan, tinjau informasi di bagian berikut.

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi
     • Argumen: argumen yang diteruskan selama eksekusi biner
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource lengkap dari resource Cloud Run yang terpengaruh

3. Di tab JSON, perhatikan kolom berikut.

   • resource:
     • project_display_name: nama project yang berisi resource Cloud Run yang terpengaruh
   • finding:
     • processes:
       • binary:
       • path: jalur lengkap biner yang dieksekusi
     • args: argumen yang diberikan saat biner dieksekusi

4. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung yang terpengaruh. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

5. Tinjau setelan penampung yang terpengaruh.

6. Periksa log untuk container yang terpengaruh.

Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pembajakan Resource.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.