Cloud Firewall melindungi dari program penambangan dengan mendeteksi dan memblokir traffic jahat secara real time. Topik ini menggunakan lingkungan cloud sebagai contoh untuk menjelaskan cara menggabungkan Alibaba Cloud Firewall dan Security Center guna memberikan perlindungan menyeluruh terhadap program penambangan, mencakup pencegahan, deteksi, dan penanganan segera.
Batasan
Batasan edisi Cloud Firewall
Anda harus menggunakan Cloud Firewall Edisi Premium, Enterprise, atau Ultimate. Hanya edisi-edisi tersebut yang mendukung deteksi dan pertahanan terhadap program penambangan. Edisi Gratis tidak mendukung fitur ini. Untuk mendeteksi atau melindungi dari program penambangan, Anda harus membeli Cloud Firewall Edisi Premium, Enterprise, atau Ultimate. Untuk informasi selengkapnya, lihat Pembelian Cloud Firewall.
Security Center: Batasan Edisi
Fitur-fitur Security Center bervariasi tergantung edisinya. Untuk informasi selengkapnya, lihat Fitur.
Karakteristik program penambangan
Program penambangan dapat meng-overclock CPU, mengonsumsi banyak sumber daya CPU, dan memengaruhi aplikasi lain yang berjalan di server Anda.
Karakteristik program penambangan mirip dengan cacing komputer. Setelah menyusup ke server Anda, program tersebut menyebar ke server-server lain dalam jaringan internal yang sama dan mencapai persistensi di server-server tersebut.
Program penambangan menyebar ke beberapa layanan sistem dan sulit dihapus. Program tersebut dapat muncul berulang kali, serta mengganti perintah sistem dengan skrip jahat. Akibatnya, sistem mungkin menjalankan skrip jahat seperti XOR DDoS. Anda harus menghapus semua trojan dan webshell persisten dari server Anda selama periode eksekusi program penambangan agar tidak muncul kembali di masa depan.
Cara cacing penambangan menyebar
Laporan Analisis Penambangan Cloud 2018 dari tim keamanan Alibaba Cloud menunjukkan bahwa dalam setahun terakhir, setiap gelombang kerentanan 0-day populer diikuti oleh penyebaran eksplosif cacing penambangan. Cacing penambangan dapat menyebabkan gangguan layanan dengan mengonsumsi sumber daya sistem. Beberapa cacing penambangan, seperti XBash, juga dibundel dengan ransomware, yang dapat menyebabkan kerugian finansial dan kehilangan data bagi bisnis.
Tim keamanan Alibaba Cloud menemukan bahwa cacing penambangan di cloud terutama menyebar melalui kerentanan umum berikut:
Eksploitasi kerentanan umum
Dalam setahun terakhir, cacing penambangan umumnya mengeksploitasi kerentanan luas pada aplikasi jaringan, termasuk kesalahan konfigurasi, kata sandi lemah, dan serangan brute-force terhadap Secure Shell (SSH), Remote Desktop Protocol (RDP), serta Telnet. Cacing tersebut terus-menerus memindai internet dan menyerang host untuk menginfeksinya.
Eksploitasi kerentanan 0-day dan N-day
Cacing penambangan juga mengeksploitasi jendela peluang sebelum kerentanan 0-day dan N-day dipatch, memungkinkan infeksi cepat dan berskala besar.
Solusi pertahanan terhadap cacing penambangan
Fase perlindungan | Solusi pertahanan | Operasi terkait |
Persiapan | Gunakan fitur access control Cloud Firewall untuk membuat kebijakan kontrol akses yang hanya mengizinkan traffic tepercaya. | Buat kebijakan kontrol akses arah keluar untuk mengizinkan alamat IP publik tepercaya dan menolak semua alamat IP lainnya. Untuk informasi selengkapnya, lihat Kebijakan kontrol akses. |
Aktifkan threat engine di Cloud Firewall untuk segera memblokir perilaku penambangan. | Gunakan Cloud Firewall untuk melindungi dari cacing penambangan | |
Gunakan fitur intrusion prevention Cloud Firewall untuk mendeteksi dan memblokir traffic serangan secara efektif. | ||
Gunakan fitur proactive defense Security Center untuk secara otomatis memblokir virus umum, koneksi jaringan jahat, dan koneksi web shell, sehingga membantu menekan event penambangan pada instance ECS. | ||
Gunakan fitur penanganan peringatan keamanan Security Center untuk memeriksa apakah ada program penambangan yang sedang berjalan atau komunikasi dengan pool penambang pada instance ECS. | ||
Fase eksekusi | Gunakan fitur breach awareness Cloud Firewall untuk mendeteksi program penambangan secara cepat. | Pada halaman Breach Detection, Anda dapat menemukan event spesifik dan alamat arah keluar dalam daftar. Untuk informasi selengkapnya, lihat Gunakan Cloud Firewall untuk mendeteksi cacing penambangan. |
Gunakan fitur intrusion prevention Cloud Firewall untuk penanganan segera. | Nyalakan sakelar Basic Protection untuk memblokir unduhan file jahat. Untuk informasi selengkapnya, lihat Cara menggunakan Cloud Firewall untuk penanganan segera setelah penyusupan. | |
Gunakan kebijakan kontrol akses Cloud Firewall untuk memblokir koneksi penambangan. | Buat kebijakan kontrol akses arah keluar untuk mengizinkan alamat IP publik tepercaya dan atur akses ke alamat pool penambang menjadi Deny. | |
Gunakan praktik terbaik ATT&CK Cloud Firewall. | Cloud Firewall menyediakan fitur seperti kebijakan dasar, virtual patch, dan threat intelligence yang mencakup berbagai risiko dalam kerangka ATT&CK. Untuk informasi selengkapnya, lihat Praktik terbaik Cloud Firewall berdasarkan ATT&CK untuk memperkuat keamanan jaringan Anda. | |
Fase pasca-penanganan | Gunakan Security Center untuk melacak sumber serangan dari program penambangan. | Lihat hasil analisis sumber serangan Jika tidak ada komunikasi penambangan atau peringatan yang muncul dalam 7 hari, program penambangan atau trojan telah berhasil dihapus. Untuk informasi selengkapnya tentang hasil kueri, lihat Kesadaran pelanggaran. |
Gunakan Cloud Firewall untuk melindungi dari cacing penambangan
Pertahanan terhadap kerentanan umum
Untuk serangan brute-force dari program penambangan, seperti terhadap SSH dan RDP, fitur Basic Protection Cloud Firewall menggunakan metode deteksi standar, seperti menghitung ambang batas frekuensi login atau percobaan berulang dan membatasi alamat IP yang melebihi ambang tersebut. Fitur ini mempertimbangkan kebiasaan akses, frekuensi akses, dan model perilaku Anda untuk memastikan akses normal tidak diblokir sementara login abnormal dibatasi.
Untuk eksploitasi umum, seperti menulis perintah Crontab ke Redis atau menggunakan user-defined function (UDF) database untuk eksekusi perintah, fitur Basic Protection memanfaatkan kemampuan big data Alibaba Cloud dan membuat aturan pertahanan presisi berdasarkan banyak sampel serangan jahat yang dikumpulkan oleh tim keamanan Alibaba Cloud.
Untuk mengaktifkan fitur Basic Protection Cloud Firewall dan melindungi dari kerentanan umum, lakukan langkah-langkah berikut:
Masuk ke Konsol Cloud Firewall.
Di panel navigasi sebelah kiri, pilih .
Pada tab Internet Border, atur Threat Engine Mode ke Blocking Mode - Loose.
Pada tab , nyalakan fitur Basic Protection.
Di panel navigasi sebelah kiri, pilih . Pada halaman IPS, Anda dapat melihat log pemblokiran detail dalam daftar data.
Pertahanan terhadap kerentanan 0-day dan N-day
Kerentanan 0-day dan N-day yang belum dipatch memiliki risiko tinggi dieksploitasi oleh program penambangan. Cloud Firewall menggunakan honeypot yang ditempatkan di seluruh jaringan untuk menganalisis traffic serangan tidak biasa dan memperoleh intelijen kerentanan dari Alibaba Cloud Threat Intelligence Platform. Hal ini memungkinkan Cloud Firewall untuk segera menemukan kerentanan 0-day dan N-day, memperoleh proof of concept (PoC) atau exploit-nya, serta membuat virtual patch, sehingga memberikan keunggulan waktu dalam melindungi dari serangan.
Untuk mengaktifkan fitur virtual patching Cloud Firewall dan melindungi dari kerentanan 0-day dan N-day, lakukan langkah-langkah berikut:
Masuk ke Konsol Cloud Firewall.
Di panel navigasi sebelah kiri, pilih .
Pada tab Virtual Patching, nyalakan fitur Virtual Patching. Anda kemudian dapat melihat atau mengelola aturan virtual patching dalam daftar.
Gunakan Cloud Firewall untuk mendeteksi cacing penambangan
Meskipun langkah pencegahan intrusi telah diterapkan di batas jaringan publik, aset Anda masih dapat terinfeksi program penambangan. Misalnya, program penambangan dapat menyebar langsung dari mesin pengembangan ke jaringan produksi melalui VPN. Jika citra OS atau citra Docker yang digunakan untuk operasi dan maintenance (O&M) sudah terinfeksi virus penambangan, wabah berskala besar dapat terjadi.
Cloud Firewall menyediakan fitur Breach Detection, yang didukung oleh Network Traffic Analysis (NTA). Fitur ini dapat segera dan efektif menemukan event infeksi program penambangan. Dengan memanfaatkan jaringan threat intelligence kuat di cloud, Cloud Firewall dapat mengidentifikasi alamat pool penambang cryptocurrency umum, mendeteksi unduhan trojan penambangan, serta mengenali protokol komunikasi pool penambang umum, dan secara real time mengenali perilaku penambangan host serta segera mengirim peringatan.
Anda dapat mengaktifkan Quick Blocking dalam fitur Breach Detection Cloud Firewall untuk mendeteksi program penambangan dan memblokir komunikasi antara trojan penambangan dan pool penambang di tingkat jaringan. Untuk mengaktifkan pertahanan deteksi penyusupan satu klik di Cloud Firewall, lakukan langkah-langkah berikut:
Masuk ke Konsol Cloud Firewall.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Breach Detection, temukan event spesifik dalam daftar dan klik Details di kolom Actions.
Di panel Event Details, Anda dapat melihat alamat arah keluar program penambangan.
Masuk ke server tempat program penambangan terdeteksi, lalu temukan dan hapus proses penambangan tersebut.
Cara menggunakan Cloud Firewall untuk penanganan segera setelah penyusupan
Jika server terinfeksi program penambangan, Cloud Firewall dapat mengendalikan penyebarannya dan mengurangi kerugian bisnis serta data dengan tiga cara: memblokir unduhan file jahat, mencegat komunikasi command and control, dan memperkuat kontrol akses untuk area bisnis utama.
Blokir unduhan file jahat
Server yang terinfeksi program penambangan sering mengunduh file jahat tambahan. Fitur Basic Protection Cloud Firewall mencakup kemampuan deteksi file jahat dan menyediakan pembaruan real time signature unik serta hash file fuzzy untuk berbagai file jahat dari program penambangan umum. Ketika program penambangan berhasil menyusup dan mencoba mengunduh muatan serangan terbaru, Cloud Firewall melakukan pemeriksaan keamanan terhadap file yang sedang diunduh, termasuk restorasi file dan pencocokan signature dalam traffic. Jika terdeteksi upaya mengunduh file jahat, peringatan akan dihasilkan dan unduhan tersebut diblokir.
Pada tab halaman IPS Configuration, Anda dapat menyalakan sakelar Basic Protection untuk memblokir unduhan file jahat.
Mencegat komunikasi command and control
Setelah terinfeksi program penambangan, program tersebut mungkin berkomunikasi dengan server command and control (C&C) untuk menerima instruksi jahat lebih lanjut atau mengekstraksi data sensitif. Fitur Basic Protection Cloud Firewall mencegat perilaku ini secara real time dengan cara-cara berikut:
Fitur ini menganalisis dan memantau data program seluruh jaringan serta traffic komunikasi server C&C untuk mengkarakterisasi traffic komunikasi tidak biasa dan membuat signature deteksi komunikasi C&C. Dengan terus memantau perubahan komunikasi C&C dan mengekstraksi signature serangan, fitur ini memastikan deteksi tepat waktu terhadap perilaku serangan.
Fitur ini secara otomatis belajar dari informasi akses traffic historis untuk membangun model deteksi traffic tidak biasa dan mengungkap informasi tentang potensi program penambangan yang tidak diketahui.
Fitur ini menggunakan teknologi visualisasi data big data untuk membuat profil perilaku akses IP di seluruh jaringan dan menggunakan pembelajaran mesin untuk menemukan alamat IP dan domain akses yang tidak biasa. Fitur ini kemudian mengorelasikan informasi tersebut dengan data serangan seluruh jaringan untuk membuat pustaka intelijen ancaman C&C, memungkinkan pencocokan traffic server terhadap intelijen tersebut dan memblokir koneksi C&C jahat secara real time.
Anda dapat menyalakan fitur Cloud Firewall untuk mencegat komunikasi C&C.
Aktifkan kontrol akses ketat untuk area bisnis utama
Layanan bisnis utama sering memerlukan layanan atau port yang terbuka ke internet. Namun, pemindaian dan serangan dari internet mengancam aset perusahaan, dan sulit menerapkan kontrol detail halus terhadap akses eksternal. Untuk koneksi arah keluar yang dimulai dari instance ECS, EIP, atau jaringan internal, jumlah nama domain tujuan atau alamat IP biasanya dapat dikendalikan karena koneksi tersebut umumnya digunakan untuk akses sah. Oleh karena itu, dengan menggunakan kontrol akses nama domain atau IP arah keluar, Anda dapat secara efektif mencegah host ECS yang dikompromikan menanamkan trojan penambangan melalui nama domain jahat atau berkomunikasi dengan server C&C.
Cloud Firewall mendukung pengaturan aturan kontrol akses untuk nama domain tujuan, termasuk nama domain wildcard dan alamat IP. Untuk keamanan area bisnis utama, Anda dapat mengonfigurasi kebijakan kontrol akses Outbound yang kuat dan terperinci. Kebijakan ini memastikan bahwa port bisnis penting hanya mengizinkan akses ke nama domain atau alamat IP tertentu, sementara semua akses lainnya ditolak, sehingga secara efektif mencegah pengunduhan dan penyebaran eksternal program penambangan serta menghentikan persistensi dan monetisasinya setelah terjadi intrusi.
Sebagai contoh, jika jaringan internal memiliki total enam alamat IP untuk akses arah keluar—di mana semua layanan Network Time Protocol (NTP) diidentifikasi sebagai produk Alibaba Cloud dan Domain Name System (DNS) adalah 8.8.8.8 yang terkenal—Anda dapat mengikuti rekomendasi keamanan Cloud Firewall untuk mengizinkan keenam alamat IP tersebut dan menolak semua akses IP lainnya. Konfigurasi ini mencegah perilaku koneksi arah keluar lainnya, seperti unduhan jahat dan komunikasi C&C, tanpa memengaruhi akses bisnis normal.
Pada tab Outbound halaman di Konsol Cloud Firewall, Anda dapat membuat kebijakan kontrol akses arah keluar yang mengizinkan alamat IP publik tepercaya dan menolak semua akses IP lainnya.
Program penambangan menyebar secara luas karena kerentanan aplikasi umum yang terus-menerus ada di internet, munculnya kerentanan 0-day yang sering, dan efisiensi tinggi monetisasi penambangan. Pelanggan cloud dapat terhubung secara transparan ke Cloud Firewall untuk melindungi aplikasi mereka dari berbagai serangan jahat di internet. Mengandalkan kemampuan komputasi cloud skala besar, Cloud Firewall dapat mendeteksi ancaman serangan terbaru lebih cepat dan memanfaatkan intelijen ancaman seluruh jaringan untuk melindungi pengguna dari ancaman program penambangan. Cloud Firewall dapat diskalakan secara elastis sesuai kebutuhan bisnis Anda, sehingga Anda dapat fokus pada ekspansi bisnis tanpa perlu mengalokasikan sumber daya tambahan untuk keamanan.