det0540-multi-platform-behavioral-detection-for-compute-hijacking

# DET0540 — Multi-Platform Behavioral Detection for Compute Hijacking ## Descrição O sequestro de recursos computacionais ([[t1496-resource-hijacking|T1496 — Resource Hijacking]]) para mineração de criptomoedas (cryptojacking) é uma ameaça crescente que afeta servidores on-premise, ambientes cloud e containers. Adversários comprometem sistemas para executar miners de criptomoeda (XMRig para Monero é o mais comum), consumindo CPU/GPU e aumentando custos de cloud significativamente. Em ambientes cloud (AWS, Azure, GCP), o comprometimento de uma única conta com permissões de criação de recursos pode resultar em centenas de instâncias de alta capacidade sendo criadas para mineração, gerando contas de cloud de dezenas de milhares de dólares. Grupos como [[g0139-teamtnt|TeamTNT]] e [[s0885-lemonduck|Lemon Duck]] especializam-se em cryptojacking em escala. A detecção multi-plataforma combina métricas de sistema (CPU sustentada acima de 80-90% por processos desconhecidos), análise de rede (conexões a pools de mineração conhecidos como `pool.supportxmr.com`, `xmrig.com`) e comportamento de processo (miners frequentemente se renomeiam para imitar processos legítimos como `kworker`, `sshd`, `python`). Em ambientes cloud, a criação repentina de instâncias de alta CPU (c5.xlarge, n1-standard-8) por API call fora do processo normal de IaC é um indicador crítico de cryptojacking via conta comprometida. Em containers e Kubernetes, o lançamento de pods com limites de CPU não definidos (`resources.limits.cpu` ausente) ou a execução de imagens de registry não-aprovado por pods são indicadores comuns. O monitoramento de egress DNS para domínios de mineração é eficaz pois miners precisam comunicar com pools regularmente — listas de bloqueio de domínios de mineração em firewalls DNS são uma contramedida preventiva complementar. ## Indicadores de Detecção - Utilização de CPU sustentada > 80% por processo não-esperado em servidor ou instância cloud - Conexão DNS ou TCP para portas 3333, 4444, 5555, 7777 em domínios de pool de mineração conhecidos - Processo com nome que imita processo de sistema (`kworker`, `systemd-udev`, `java`) consumindo alta CPU - Criação de instâncias EC2/VM de alta capacidade por chamada de API não associada a processo de IaC aprovado - Download de binário de miner (`xmrig`, `cpuminer`, `ethminer`) em diretório `/tmp/` ou equivalente - Pod Kubernetes sem `resources.limits.cpu` criado a partir de imagem não-assinada ou de registry não-aprovado ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] — técnica principal coberta por esta estratégia - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de miner via scripts shell - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] — contas cloud comprometidas para criar instâncias de mineração - [[t1610-deploy-container|T1610 — Deploy Container]] — deploy de containers maliciosos para mineração em K8s - [[t1562-impair-defenses|T1562 — Impair Defenses]] — desabilitação de monitoramento de CPU/alerta de cloud ## Analytics Relacionadas - [[an1489-analytic-1489|AN1489 — Analytic 1489]] - [[an1490-analytic-1490|AN1490 — Analytic 1490]] - [[an1491-analytic-1491|AN1491 — Analytic 1491]] - [[an1492-analytic-1492|AN1492 — Analytic 1492]] - [[an1493-analytic-1493|AN1493 — Analytic 1493]] --- *Fonte: [MITRE ATT&CK — DET0540](https://attack.mitre.org/detectionstrategies/DET0540)*