Cloud Firewall melindungi sistem dari cacing penambangan dengan mendeteksi dan memblokir lalu lintas berbahaya secara real time. Dokumen ini menjelaskan cara menggunakan Cloud Firewall dan Security Center untuk melindungi lingkungan cloud Anda melalui pencegahan, deteksi, dan respons insiden.
Batasan
-
Edisi Cloud Firewall
Deteksi dan pertahanan terhadap cacing penambangan hanya tersedia pada edisi Premium, Enterprise, atau Ultimate Cloud Firewall. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
-
Edisi Security Center
Fitur yang tersedia di Security Center bervariasi tergantung edisinya. Untuk informasi lebih lanjut, lihat Fitur.
Cara cacing penambangan menyebar
Laporan Analisis Penambangan Kripto Cloud 2018 dari tim keamanan Alibaba Cloud menemukan bahwa gelombang besar kerentanan 0-day biasanya diikuti oleh wabah cepat cacing penambangan. Cacing ini mengganggu operasi bisnis dengan mengonsumsi sumber daya sistem. Beberapa di antaranya, seperti XBash, bahkan dikemas bersama ransomware, menyebabkan kerugian finansial dan kehilangan data.
Tim keamanan Alibaba Cloud menemukan bahwa cacing penambangan di cloud terutama menyebar dengan mengeksploitasi kerentanan berikut:
-
Eksploitasi kerentanan umum
Cacing penambangan mengeksploitasi kerentanan aplikasi umum, seperti salah konfigurasi dan kata sandi lemah. Mereka juga menggunakan serangan brute-force terhadap layanan seperti SSH, RDP, dan Telnet untuk memindai dan menginfeksi host baru.
-
Eksploitasi kerentanan 0-day dan N-day
Cacing penambangan juga memanfaatkan jeda antara penemuan dan penerapan patch terhadap kerentanan 0-day dan N-day, sehingga memungkinkan infeksi cepat dalam skala besar.
Strategi pertahanan
|
Fase |
Solusi |
Aksi |
|
Pencegahan |
Buat kebijakan kontrol akses di Cloud Firewall untuk hanya mengizinkan lalu lintas tepercaya. |
Buat kebijakan kontrol akses outbound untuk mengizinkan lalu lintas ke Alamat IP publik tepercaya dan menolak semua lalu lintas lainnya. Untuk informasi lebih lanjut, lihat Kebijakan kontrol akses. |
|
Aktifkan Threat Engine di Cloud Firewall untuk memblokir aktivitas penambangan. |
Gunakan Cloud Firewall untuk mempertahankan diri dari cacing penambangan |
|
|
Gunakan fitur Pencegahan Intrusi Cloud Firewall untuk mendeteksi dan memblokir lalu lintas serangan. |
||
|
Gunakan fitur antivirus di Security Center untuk secara otomatis memblokir virus, koneksi berbahaya, dan webshell, sehingga mencegah insiden penambangan pada Instance ECS Anda. |
||
|
Tangani peringatan keamanan di Security Center untuk mendeteksi program penambangan dan komunikasi dengan mining pool pada Instance ECS Anda. |
||
|
Deteksi dan respons |
Gunakan fitur Breach Awareness Cloud Firewall untuk mendeteksi cacing penambangan secara cepat. |
Di halaman Breach Detection, Anda dapat mengidentifikasi event spesifik dan alamat eksternal yang dihubunginya. Untuk informasi lebih lanjut, lihat Gunakan Cloud Firewall untuk mendeteksi cacing penambangan. |
|
Gunakan fitur Pencegahan Intrusi Cloud Firewall untuk pengendalian ancaman cepat. |
Aktifkan Basic Protection di Cloud Firewall untuk memblokir unduhan file berbahaya. Untuk informasi lebih lanjut, lihat Cara menggunakan Cloud Firewall untuk pengendalian ancaman cepat setelah intrusi. |
|
|
Gunakan kebijakan kontrol akses Cloud Firewall untuk memblokir koneksi penambangan kripto. |
Buat kebijakan kontrol akses outbound untuk mengizinkan lalu lintas ke Alamat IP publik tepercaya dan atur aksi untuk lalu lintas ke alamat mining pool menjadi Deny. |
|
|
Ikuti praktik terbaik Cloud Firewall berdasarkan kerangka ATT&CK. |
Cloud Firewall menyediakan fitur seperti aturan dasar, pembenahan virtual, dan intelijen ancaman yang mencakup berbagai risiko dalam kerangka ATT&CK. Kami menyarankan Anda mengikuti Praktik terbaik Cloud Firewall berdasarkan kerangka ATT&CK untuk meningkatkan keamanan jaringan Anda. |
|
|
Pasca-intrusi |
Gunakan Security Center untuk melacak sumber serangan virus penambangan. |
Lihat hasil analisis sumber serangan Jika tidak ada komunikasi terkait yang terdeteksi atau peringatan yang dihasilkan dalam tujuh hari, virus penambangan atau trojan tersebut telah dihapus. Untuk informasi lebih lanjut tentang cara melihat hasil kueri, lihat Breach Awareness. |
Mempertahankan diri dari cacing penambangan dengan Cloud Firewall
Pertahanan terhadap kerentanan umum
-
Untuk mempertahankan diri dari serangan brute-force, seperti yang menargetkan SSH dan RDP, fitur Basic Protection Cloud Firewall mencakup deteksi serangan brute-force konvensional. Fitur ini menghitung ambang batas percobaan login dan kegagalannya, dan jika suatu alamat IP melebihi ambang tersebut, alamat tersebut akan diblokir. Fitur ini menggunakan model perilaku berdasarkan kebiasaan akses Anda untuk memblokir login abnormal tanpa mengganggu akses sah.
-
Untuk eksploitasi umum, seperti menggunakan Redis untuk menulis cron job atau menggunakan UDF database untuk eksekusi perintah, fitur Basic Protection menggunakan pustaka sampel serangan luas dari Alibaba Cloud untuk membuat aturan pertahanan yang akurat.
Untuk mengaktifkan Basic Protection dan mempertahankan diri dari kerentanan umum, ikuti langkah-langkah berikut:
-
Masuk ke Konsol Cloud Firewall.
-
Di panel navigasi sebelah kiri, pilih .
-
Di tab Internet Border, atur Threat Engine Mode ke Blocking Mode - Loose.
-
Di tab , aktifkan sakelar Basic Protection.
-
Di panel navigasi sebelah kiri, pilih . Di halaman IPS, lihat log pemblokiran detail di daftar.
Pertahanan terhadap kerentanan 0-day dan N-day
Jika kerentanan 0-day dan N-day populer tidak dipatch tepat waktu, risiko infeksi oleh cacing penambangan meningkat secara signifikan. Cloud Firewall menggunakan jaringan honeypot yang ditempatkan untuk menganalisis lalu lintas serangan mencurigakan dan mengumpulkan intelijen kerentanan dari Platform Crowdsourcing Keamanan Alibaba Cloud. Proses ini memungkinkan penemuan eksploitasi secara tepat waktu, perolehan PoC, dan pembuatan patch virtual, memberi Anda keunggulan kritis melawan penyerang.
Anda dapat mengaktifkan pembenahan virtual untuk mempertahankan diri dari kerentanan 0-day dan N-day. Untuk melakukannya, lakukan langkah-langkah berikut:
-
Masuk ke Konsol Cloud Firewall.
-
Di panel navigasi sebelah kiri, pilih .
-
Di tab Virtual Patching, aktifkan sakelar Virtual Patching. Anda kemudian dapat melihat dan mengelola aturan pembenahan virtual di daftar.
Setelah Anda mengaktifkan fitur ini, bagian atas halaman menampilkan statistik aturan, seperti jumlah total aturan, jumlah aturan yang diaktifkan/dinonaktifkan, jumlah kerentanan berisiko tinggi, dan jumlah serangan yang saat ini diblokir, serta versi pustaka aturan. Anda dapat memfilter aturan berdasarkan kriteria seperti Risk Level, Attack Type, Attack Target, Status, Supported Engine Mode, dan Current Action. Daftar aturan mencakup informasi seperti ID Aturan, Nama Aturan, ID CVE, Tingkat Risiko, Aksi Saat Ini, dan Status.
Mendeteksi cacing penambangan dengan Cloud Firewall
Meskipun telah menerapkan langkah pencegahan intrusi yang kuat di batas jaringan publik, sistem tetap dapat terinfeksi cacing penambangan. Misalnya, cacing penambangan dapat menyebar dari mesin pengembangan ke jaringan produksi melalui VPN, atau infeksi skala besar dapat terjadi jika image sistem atau Docker yang digunakan untuk operasi telah terinfeksi virus penambangan sebelumnya.
Cloud Firewall menyediakan fitur Breach Detection, yang didukung oleh Network Traffic Analysis (NTA), untuk mendeteksi infeksi cacing penambangan secara cepat dan efektif. Dengan jaringan intelijen ancamannya, Cloud Firewall mengidentifikasi alamat mining pool, mendeteksi unduhan trojan penambangan, mengenali protokol komunikasi penambangan, dan mengeluarkan peringatan real time untuk aktivitas penambangan pada host Anda.
Anda dapat menggunakan fitur Quick Blocking di halaman Breach Detection untuk mendeteksi cacing penambangan dan memblokir komunikasi antara trojan penambangan dan mining pool di tingkat jaringan. Untuk mengaktifkan pemblokiran otomatis, lakukan langkah-langkah berikut:
-
Masuk ke Konsol Cloud Firewall.
-
Di panel navigasi sebelah kiri, pilih .
-
Di halaman Breach Detection, temukan event spesifik di daftar dan klik Details di kolom Actions.
Di panel Event Details, Anda dapat melihat alamat eksternal yang dihubungi oleh program penambangan.
-
Masuk ke server yang terpengaruh, temukan proses penambangan, dan hapus proses tersebut.
Pengendalian ancaman cepat
Jika server sudah terinfeksi cacing penambangan, Cloud Firewall dapat membantu mengendalikan ancaman dan meminimalkan kerugian bisnis dan data dengan memblokir unduhan file berbahaya, mencegat komunikasi C&C, dan memperkuat kontrol akses untuk kelompok bisnis kritis.
-
Blokir unduhan file berbahaya
Setelah host terinfeksi cacing penambangan, host tersebut sering mencoba mengunduh file berbahaya tambahan. Fitur Basic Protection Cloud Firewall mencakup deteksi file berbahaya. Fitur ini menggunakan pembaruan real time signature unik dan fuzzy hash untuk cacing penambangan umum. Jika host yang terinfeksi mencoba mengunduh muatan serangan baru, Cloud Firewall melakukan pemeriksaan keamanan, termasuk rekonstruksi file dan pencocokan signature pada lalu lintas tersebut. Jika mendeteksi unduhan file berbahaya, Cloud Firewall menghasilkan peringatan dan memblokir unduhan tersebut.
Anda dapat mengaktifkan sakelar Basic Protection di tab di halaman IPS Configuration untuk memblokir unduhan file berbahaya.
-
Mencegat komunikasi C&C
Setelah host terinfeksi, cacing penambangan mungkin mencoba berkomunikasi dengan server Command and Control (C&C) untuk menerima perintah berbahaya lebih lanjut atau mengekstraksi data sensitif. Fitur Basic Protection Cloud Firewall mencegat komunikasi C&C ini secara real time melalui metode berikut:
-
Fitur ini menganalisis dan memantau data cacing dan lalu lintas server C&C di seluruh jaringan untuk membuat signature lalu lintas abnormal. Fitur ini terus memantau perubahan komunikasi C&C dan mengekstraksi pola serangan untuk memastikan deteksi tepat waktu.
-
Fitur ini secara otomatis belajar dari data lalu lintas historis untuk membangun model deteksi lalu lintas abnormal, yang membantu menemukan cacing penambangan tak dikenal potensial.
-
Fitur ini menggunakan visualisasi data besar untuk membuat profil perilaku akses IP di seluruh jaringan. Fitur ini menggunakan pembelajaran mesin untuk mengidentifikasi alamat IP dan domain akses anomali, mengorelasikan data ini dengan informasi serangan di seluruh jaringan, dan memelihara pustaka intelijen ancaman C&C. Hal ini memungkinkan pencocokan real time terhadap lalu lintas server untuk memblokir koneksi C&C berbahaya.
Anda dapat mengaktifkan fitur Basic Protection di halaman untuk mencegat komunikasi C&C.
-
-
Aktifkan kontrol akses ketat untuk kelompok bisnis kritis
Layanan kritis sering kali perlu diekspos ke Internet, tetapi pemindaian dan serangan dari Internet mengancam aset Anda, sehingga membuat kontrol akses eksternal detail halus menjadi sulit. Namun, untuk koneksi outbound yang dimulai dari Instance ECS, alamat IP elastis, atau jaringan internal, jumlah nama domain atau alamat IP tujuan biasanya dapat dikontrol dan terbatas pada layanan sah. Menerapkan kontrol akses berbasis domain atau IP outbound dapat mencegah host ECS yang disusupi menanam trojan penambangan atau berkomunikasi dengan server C&C.
Cloud Firewall memungkinkan Anda menetapkan aturan kontrol akses berdasarkan nama domain tujuan (termasuk domain wildcard) dan alamat IP. Untuk melindungi layanan bisnis kritis, Anda dapat mengonfigurasi kebijakan kontrol akses Outbound yang ketat. Kebijakan ini hanya mengizinkan layanan kritis Anda terhubung ke domain atau alamat IP tujuan tertentu, sementara menolak semua koneksi outbound lainnya. Pendekatan ini secara efektif mencegah unduhan dan penyebaran cacing penambangan serta menghentikan aktivitas persistensi dan monetisasi pasca-pelanggaran.
Sebagai contoh, jaringan internal Anda melakukan koneksi outbound ke total enam alamat IP, di mana layanan NTP semuanya diidentifikasi sebagai produk Alibaba Cloud dan Server DNS adalah alamat yang dikenal seperti 8.8.8.8. Mengikuti rekomendasi keamanan Cloud Firewall, Anda dapat membuat kebijakan untuk mengizinkan lalu lintas ke keenam alamat IP tersebut dan menolak semua koneksi outbound lainnya. Konfigurasi ini mencegah aktivitas berbahaya seperti unduhan malware dan komunikasi C&C tanpa memengaruhi operasi bisnis normal.
Di tab Outbound di halaman di Konsol Cloud Firewall, Anda dapat membuat kebijakan kontrol akses outbound untuk mengizinkan lalu lintas ke Alamat IP publik tepercaya dan menolak semua lalu lintas outbound lainnya.
Penyebaran masif cacing penambangan didorong oleh kerentanan aplikasi yang terus-menerus, munculnya kerentanan 0-day yang sering, dan efisiensi tinggi monetisasi melalui penambangan kripto. Anda dapat mengintegrasikan Cloud Firewall secara mulus untuk melindungi aplikasi Anda dari berbagai serangan berbasis Internet. Dengan daya komputasi luas dan intelijen ancaman jaringan-wide-nya, Cloud Firewall mendeteksi ancaman baru secara cepat untuk melindungi Anda dari cacing penambangan. Cloud Firewall juga diskalakan secara elastis sesuai dengan bisnis Anda, sehingga Anda dapat fokus pada pertumbuhan tanpa khawatir tentang keamanan.