Detectando e prevenindo crypto mining no seu ambiente AWS

O problema do crypto mining não autorizado na nuvem

Quando alguém obtém acesso indevido a recursos de nuvem para minerar criptomoedas, o impacto vai muito além do desperdício de processamento. A Amazon Web Services (AWS) detalha em um guia recente que organizações afetadas podem enfrentar aumentos de custo que vão de centenas a milhares de dólares, degradação de performance em workloads legítimas e, em casos mais graves, incidentes de segurança como exposição de dados ou implantação de ransomware.

O que torna esse problema ainda mais preocupante é que as técnicas usadas pelos atacantes evoluem constantemente, dificultando a detecção. Muitas organizações só descobrem a invasão depois de receberem uma fatura inesperada ou quando a degradação de recursos começa a afetar as operações. E quando um atacante entra pela porta do crypto mining, ele pode instalar backdoors, comprometer credenciais e se mover lateralmente pela infraestrutura AWS.

Sinais que indicam atividade de mineração

A AWS aponta alguns indicadores que as equipes de segurança devem monitorar ativamente:

• Conexões com endereços IP desconhecidos ou uso de portas associadas a pools de mineração, como a porta 3333
• Uso elevado e sustentado de CPU ou GPU sem justificativa nas operações normais do negócio
• Padrões de tráfego de rede incomuns, especialmente picos de saída para IPs não reconhecidos
• Processos ou aplicações não autorizadas rodando nos recursos

Como o Amazon GuardDuty detecta mineração de criptomoedas

O Amazon GuardDuty é o serviço central para detecção desse tipo de ameaça. Ele usa algoritmos de aprendizado de máquina (Machine Learning) alimentados por dados globais de ameaças coletados pela AWS, detecção de anomalias baseada em linhas de base comportamentais e inteligência de ameaças integrada com parceiros de segurança.

Tipos de alertas específicos para crypto mining

As capacidades de detecção de crypto mining do GuardDuty incluem os seguintes tipos de findings:

• CryptoCurrency:EC2/BitcoinTool.B!DNS: identifica instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que consultam domínios associados a atividades de mineração via análise de requisições DNS.
• CryptoCurrency:EC2/BitcoinTool.B: detecta comunicações diretas de rede com endereços IP relacionados a criptomoedas.
• CryptoCurrency:Lambda/BitcoinTool.B: revela funções AWS Lambda que se comunicam com pools de mineração.

O GuardDuty também monitora os Flow Logs da Amazon Virtual Private Cloud (Amazon VPC) em busca de padrões suspeitos de rede, analisa consultas DNS para domínios relacionados à mineração e examina eventos do AWS CloudTrail para identificar chamadas de API suspeitas.

Quando o recurso de Runtime Monitoring está ativado, o GuardDuty implanta agentes leves que oferecem visibilidade mais profunda sobre processos em execução e comportamento do sistema. Isso habilita findings como CryptoCurrency:Runtime/BitcoinTool.B e Impact:Runtime/CryptoMinerExecuted, que detectam software de mineração operando dentro dos workloads.

A cobertura se estende a instâncias Amazon EC2, clusters do Amazon Elastic Container Service (Amazon ECS), ambientes Kubernetes e containers standalone. Para ambientes containerizados, findings do Amazon Elastic Kubernetes Service (Amazon EKS) podem indicar quando acessos não autorizados estão sendo usados para operações de mineração.

Construindo uma proteção em múltiplas camadas

A AWS reforça que a proteção contra crypto mining se beneficia de várias camadas de segurança — o GuardDuty é um componente importante, mas não o único. Veja o que a AWS recomenda para complementar as capacidades de detecção:

• Ative o GuardDuty em todas as contas e regiões via AWS Organizations, habilitando também o Runtime Monitoring e a proteção para Amazon EKS.
• Amazon CloudWatch: configure métricas de uso de recursos e alarmes para picos incomuns de CPU, rede ou GPU que possam indicar mineração.
• AWS Config: implemente regras para verificar conformidade de configurações de segurança, garantindo que grupos de segurança não permitam acesso amplo à internet e que o IMDSv2 esteja aplicado.
• AWS Network Firewall: habilite filtragem granular de tráfego de saída, permitindo apenas conectividade necessária e bloqueando acesso à infraestrutura de mineração.
• AWS Systems Manager: mantenha visibilidade sobre configurações de instâncias. O recurso Inventory rastreia aplicações instaladas para detectar software de mineração; Run Command e State Manager aplicam políticas de segurança em toda a frota.
• Automação de resposta: crie workflows automáticos usando Amazon EventBridge e Lambda para reagir imediatamente quando o GuardDuty detectar atividades de mineração.

Boas práticas para proteção abrangente

Gestão de acesso e autenticação

A AWS recomenda implementar o princípio do menor privilégio com o Gerenciamento de Identidade e Acesso da AWS (IAM). Para casos de uso de software, use IAM roles dentro da AWS e IAM Roles Anywhere fora da AWS, em vez de chaves de acesso de longa duração. Para identidades humanas, centralize o gerenciamento de usuários pelo AWS IAM Identity Center com Autenticação Multifator (MFA) e controle de acesso baseado em atributos.

Se não for possível eliminar o uso de chaves de acesso de longa duração, implemente políticas de rotação regular e aplique o menor privilégio em todas as políticas do IAM. Audite permissões regularmente para identificar e remover acessos excessivos.

Manutenção de sistemas e configurações

Use o Patch Manager, recurso do Systems Manager, para automatizar a aplicação de patches e manter as Imagens de Máquina da Amazon (AMIs) sempre atualizadas. Estabeleça um ciclo regular de patching, testando em ambientes de não-produção antes de implantar.

Implemente regras rígidas de entrada em grupos de segurança, permitindo apenas o tráfego necessário. Use filtragem de saída para impedir conexões não autorizadas com pools de mineração e audite regularmente as configurações de grupos de segurança.

Proteção de dados

Use o Serviço de Gerenciamento de Chaves da AWS (AWS KMS) para habilitar criptografia de todos os dados em repouso e implemente TLS para dados em trânsito. O AWS KMS utiliza criptografia em envelope por padrão, protegendo as chaves de dados com chaves mestras. Rotacione as chaves de criptografia regularmente.

Benefícios de uma proteção abrangente

A AWS descreve os ganhos concretos que organizações podem obter ao implementar esse conjunto de medidas:

• Redução do tempo de detecção: de dias ou semanas para minutos, permitindo contenção rápida antes que danos significativos ocorram.
• Respostas automatizadas: workflows automáticos reduzem a necessidade de intervenção manual, liberando as equipes de segurança para iniciativas estratégicas.
• Controle de custos: identificação e encerramento de consumo não autorizado de recursos, prevenindo aumentos inesperados na fatura.
• Estabilidade de performance: processos de mineração deixam de monopolizar CPU, memória e rede, mantendo a performance das aplicações legítimas.
• Visibilidade ampliada: a abordagem de monitoramento ajuda a identificar não só crypto mining, mas outras ameaças de segurança que poderiam passar despercebidas.
• Confiança da equipe: monitoramento contínuo e alertas automatizados garantem que tentativas de mineração sejam detectadas e tratadas prontamente.

Mineração de criptomoedas autorizada na AWS

Um ponto importante destacado pela AWS: mineração de criptomoedas na plataforma requer aprovação prévia por escrito, conforme os Termos de Serviço da AWS (Seção 1.25). Essa exigência existe para proteger tanto os recursos dos clientes quanto a infraestrutura geral da AWS.

Para solicitar aprovação, o AWS Trust & Safety avalia os pedidos para evitar que atividades de mineração afetem negativamente a performance ou a segurança dos serviços. A solicitação deve incluir:

• Descrição do propósito da mineração e do caso de negócio
• Planejamento de infraestrutura e abordagem de gestão de custos
• Detalhamento das medidas de segurança para prevenir acessos não autorizados
• Contatos de emergência para comunicação rápida em caso de problemas
• Número de instâncias e tipo de mineração pretendida

Operações aprovadas devem seguir diretrizes específicas. A AWS monitora as atividades para verificar que não geram relatórios de abuso, não afetam a performance dos serviços e não desviam da arquitetura e das práticas de segurança definidas. Vale lembrar: créditos AWS e recursos do Free Tier não podem ser usados para mineração.

Conclusão

A AWS recomenda uma abordagem abrangente que combine detecção avançada de ameaças com medidas preventivas proativas. O GuardDuty fornece a base de detecção, enquanto os serviços complementares formam um ecossistema robusto de segurança. A segurança é uma responsabilidade compartilhada: a AWS fornece as ferramentas, mas a implementação das práticas e controles de segurança por parte da organização é o que determina o nível real de proteção. Revisão regular das medidas de segurança e treinamento das equipes são essenciais para manter uma defesa eficaz contra crypto mining e outras ameaças no ambiente AWS.

Fonte

Detecting and preventing crypto mining in your AWS environment (https://aws.amazon.com/blogs/security/detecting-and-preventing-crypto-mining-in-your-aws-environment/)