det0267-resource-hijacking-detection-strategy

# DET0267 — Resource Hijacking Detection Strategy ## Descrição Esta estratégia detecta o sequestro de recursos computacionais — principalmente para cryptomining — onde adversários implantam malware que consome CPU/GPU/memória do ambiente comprometido para mineração de criptomoedas. Grupos como TeamTNT e 8220 Gang são conhecidos por atacar ambientes cloud e Kubernetes para resource hijacking. Os indicadores incluem: uso anômalo e sustentado de CPU (> 80% por processos de sistema ou desconhecidos), conexões de rede para pools de mineração conhecidos (portas 3333, 4444, 5555, 8080 para protocolos Stratum), e processos com nomes que imitam binários legítimos mas com alto consumo de recursos. Em ambientes cloud, os alertas de billing por uso excessivo de compute são frequentemente o primeiro sinal. A telemetria requer métricas de CPU/GPU/memória por processo com alertas de threshold, detecção de tráfego para IPs de mining pools conhecidos, e análise comportamental de processos com padrões de rede Stratum Protocol. ## Indicadores de Detecção - Processo consumindo > 70% de CPU por período sustentado (> 10 minutos) sem justificativa de negócio - Conexão de rede para porta 3333, 4444, 5555 ou 14444 associada a pools Monero/Ethereum mining - Processo com nome que imita binário legítimo (`svchost32.exe`, `kworker`, `systemd-udevd`) com alto CPU - Download de binário xmrig, minergaté, cpuminer ou variante a partir de URL de pastebin ou GitHub - Conta cloud com spike de billing de compute superior a 200% do baseline histórico - Novo container ou pod em Kubernetes com limites de CPU não definidos e processo minerador ativo ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1610-deploy-container|T1610 — Deploy Container]] ## Analytics Relacionadas - [[an0741-analytic-0741|AN0741 — Analytic 0741]] - [[an0742-analytic-0742|AN0742 — Analytic 0742]] - [[an0743-analytic-0743|AN0743 — Analytic 0743]] - [[an0744-analytic-0744|AN0744 — Analytic 0744]] - [[an0745-analytic-0745|AN0745 — Analytic 0745]] - [[an0746-analytic-0746|AN0746 — Analytic 0746]] --- *Fonte: [MITRE ATT&CK — DET0267](https://attack.mitre.org/detectionstrategies/DET0267)*