Przestępcy używają taktyk podobnych do ransomware i zatrutych witryn internetowych, aby zmusić komputery pracowników do wydobywania kryptowalut. Oto, co możesz zrobić, aby to zatrzymać.
Definicja Cryptojackingu
Cryptojacking to nieautoryzowane użycie cudzego komputera do wydobywania kryptowaluty. Hakerzy robią to, nakłaniając ofiarę do kliknięcia złośliwego linku w wiadomości e-mail, która ładuje kod wydobywający kryptowaluty na komputerze. Może również zainfekować witrynę internetową lub reklamę internetową kodem JavaScript, który jest automatycznie wykonywany po załadowaniu do przeglądarki ofiary.
Tak czy inaczej, kod wydobywający kryptowaluty działa w tle, ponieważ niczego nie podejrzewające ofiary normalnie używają swoich komputerów. Jedynym objawem, jaki mogą zauważyć, jest wolniejsza wydajność lub opóźnienia w wykonywaniu.
Jak działa cryptojacking
Hakerzy mają dwa główne sposoby, aby skłonić komputer ofiary do potajemnego wydobywania kryptowalut. Jednym z nich jest nakłonienie ofiar do załadowania kodu wydobywającego kryptowaluty na ich komputery.
Odbywa się to za pomocą taktyk podobnych do phishingu: ofiary otrzymują autentycznie wyglądającą wiadomość e-mail, która zachęca je do kliknięcia łącza.
Łącze uruchamia kod, który umieszcza skrypt wydobywający kryptowaluty na komputerze. Następnie skrypt działa w tle, gdy ofiara pracuje.
Inną metodą jest wstrzyknięcie skryptu do witryny internetowej lub reklamy wyświetlanej w wielu witrynach. Gdy ofiary odwiedzą witrynę lub w ich przeglądarkach wyskakuje zainfekowana reklama, skrypt jest wykonywany automatycznie.
Żaden kod nie jest przechowywany na komputerach ofiar. Niezależnie od zastosowanej metody kod uruchamia złożone problemy matematyczne na komputerach ofiar i wysyła wyniki do serwera kontrolowanego przez hakera.
Hakerzy często używają obu metod, aby zmaksymalizować swój zwrot. „Ataki wykorzystują stare sztuczki złośliwego oprogramowania, aby dostarczyć bardziej niezawodne i trwałe oprogramowanie [na komputery ofiar] jako rozwiązanie awaryjne”.
Na przykład ze 100 urządzeń wydobywających kryptowaluty dla hakera 10% może generować dochód z kodu na maszynach ofiar, a 90% robi to za pośrednictwem swoich przeglądarek internetowych.
Niektóre skrypty wydobywające kryptowaluty mają możliwości robaków, które pozwalają im infekować inne urządzenia i serwery w sieci. Utrudnia również ich znalezienie i usunięcie; utrzymanie wytrwałości w sieci leży w najlepszym interesie finansowym cryptojackera.
Aby zwiększyć ich zdolność do rozprzestrzeniania się w sieci, kod wydobywający kryptowaluty może obejmować wiele wersji, aby uwzględnić różne architektury w sieci.
W przeciwieństwie do większości innych typów złośliwego oprogramowania, skrypty do cryptojackingu nie uszkadzają komputerów ani danych ofiar. Kradną zasoby procesora. Dla użytkowników indywidualnych wolniejsza praca komputera może być tylko irytacją.
Organizacja z wieloma systemami zaatakowanymi przez kryptowaluty może ponosić realne koszty w postaci pomocy technicznej i czasu spędzonego przez IT na śledzeniu problemów z wydajnością i wymianie komponentów lub systemów w nadziei na rozwiązanie problemu.
Dlaczego cryptojacking jest popularny
Nikt nie wie na pewno, ile kryptowaluty wydobywa się poprzez cryptojacking, ale nie ma wątpliwości, że praktyka ta jest powszechna.
Cryptojacking oparty na przeglądarkach rozwijał się początkowo szybko, ale wydaje się zanikać, prawdopodobnie z powodu zmienności kryptowalut i zamknięcia Coinhive, najpopularniejszego kopacza JavaScript, który był również używany do legalnej działalności kryptowalutowej.
Cryptojacking nie wymaga nawet znacznych umiejętności technicznych, zestawy do cryptojackingu są dostępne w Dark-Necie za jedyne 30 USD.
Prosty powód, dla którego cryptojacking staje się coraz bardziej popularny wśród hakerów, to więcej pieniędzy przy mniejszym ryzyku. „Hakerzy postrzegają cryptojacking jako tańszą i bardziej dochodową alternatywę dla oprogramowania ransomware”.
Używając oprogramowania ransomware haker może skłonić trzy osoby do zapłacenia za każde 100 zainfekowanych komputerów. Dzięki cryptojackingowi wszystkie 100 zainfekowanych maszyn pracuje dla hakera, aby wydobywać kryptowalutę.
[Haker] może zarobić tyle samo, co te trzy płatności ransomware, ale kopanie kryptowalut stale generuje pieniądze.
Ryzyko bycia złapanym i zidentyfikowanym jest również znacznie mniejsze niż w przypadku oprogramowania ransomware. Kod wydobywający kryptowaluty działa potajemnie i może pozostać niewykryty przez długi czas.
Po odkryciu bardzo trudno jest prześledzić źródło, a ofiary mają niewielką motywację, aby to zrobić, ponieważ nic nie zostało skradzione ani zaszyfrowane.
Hakerzy preferują anonimowe kryptowaluty, takie jak Monero i Zcash, od bardziej popularnych Bitcoinów, ponieważ trudniej jest im wyśledzić nielegalną aktywność.
Przykłady cryptojackingu w świecie rzeczywistym
Cryptojackerzy są sprytni i opracowali szereg schematów, aby zmusić komputery innych ludzi do wydobywania kryptowaluty. Większość nie jest nowa; metody dostarczania kryptowalut często wywodzą się z metod stosowanych w przypadku innych typów złośliwego oprogramowania, takich jak oprogramowanie ransomware lub oprogramowanie reklamowe. „Zaczynasz dostrzegać wiele tradycyjnych rzeczy, które mali autorzy zrobili w przeszłości” – mówi Travis Farral, dyrektor ds. Strategii bezpieczeństwa w Anomali. „Zamiast dostarczać oprogramowanie ransomware lub trojana, zmieniają to narzędzie, aby dostarczać moduły lub komponenty do kopania kryptowalut”.
Oto kilka przykładów ze świata rzeczywistego:
PowerGhost kradnie poświadczenia systemu Windows
Raport Cyber Threat Alliance (CTA) The Illicit Cryptocurrency Mining Threat opisuje PowerGhost, po raz pierwszy przeanalizowany przez Fortinet, jako ukryte złośliwe oprogramowanie, które może uniknąć wykrycia na wiele sposobów.
Najpierw wykorzystuje spear phishing, aby zdobyć przyczółek w systemie, a następnie kradnie poświadczenia systemu Windows i wykorzystuje Instrumenty zarządzania Windows oraz exploit EternalBlue do rozprzestrzeniania się.
Następnie próbuje wyłączyć oprogramowanie antywirusowe i konkurencyjne kryptowaluty.
Graboid, robak cryptominer rozprzestrzeniający się za pomocą kontenerów
W październiku Palo Alto Networks opublikowało raport opisujący botnet cryptojacking z możliwościami samo rozpowszechniania się.
Graboid, jak go nazwali, jest pierwszym znanym robakiem wydobywającym kryptowaluty.
Rozprzestrzenia się, znajdując wdrożenia Docker Engine, które są udostępniane w Internecie bez uwierzytelniania. Firma Palo Alto Networks oszacowała, że Graboid zainfekował ponad 2000 wdrożeń Dockera.
Złośliwe konta Docker Hub wydobywają Monero
W czerwcu 2020 r. Palo Alto Networks zidentyfikowało schemat cryptojackingu, który wykorzystywał obrazy Dockera w sieci
Docker Hub do dostarczania oprogramowania do wydobywania kryptowalut do systemów ofiar.
Umieszczenie kodu wydobywającego kryptowaluty w obrazie platformy Docker pomaga uniknąć wykrycia.
Zainfekowane obrazy uzyskano ponad dwa miliony razy, a Palo Alto szacuje, że cryptojackerzy uzyskali 36 000 dolarów nielegalnie zdobytych zysków.
Wariant MinerGate zawiesza wykonanie, gdy ofiar używa komputera
Według raportu CTA, Palo Alto Networks przeanalizowało wariant rodziny złośliwego oprogramowania MinerGate i znalazło interesującą funkcję.
Może wykrywać ruch myszy i zawieszać działania wydobywcze.
Pozwala to uniknąć spadku wydajności komputera ofiary, która w przeciwnym razie mogłaby go zauważyć.
BadShell wykorzystuje procesy systemu Windows do wykonywania swojej brudnej pracy
Kilka miesięcy temu Comodo Cybersecurity znalazł złośliwe oprogramowanie w systemie klienta, który wykorzystywał legalne procesy Windows do wydobywania kryptowaluty. Nazwany BadShell używał:
- PowerShell do wykonywania poleceń – skrypt PowerShell wstrzykuje kod złośliwego oprogramowania do istniejącego uruchomionego procesu.
- Harmonogramu zadań, aby zapewnić trwałość
- Rejestru do przechowywania kodu binarnego złośliwego oprogramowania
Więcej informacji na temat działania BadShell można znaleźć w raporcie firmy Comodo o globalnym zagrożeniu, edycja Q2 2018
Nieuczciwi pracownicy wykorzystują systemy firmy do kopania kryptowalut
Na konferencji EmTech Digital na początku tego roku Darktrace opowiedział historię klienta, europejskiego banku, który doświadczył niezwykłych wzorców ruchu na swoich serwerach.
Nocne procesy przebiegały wolno, a narzędzia diagnostyczne banku nic nie wykryły. Darktrace odkrył, że w tym czasie pojawiały się nowe serwery – serwery, o których bank powiedział, że nie istnieją.
Fizyczna inspekcja centrum danych ujawniła, że nieuczciwy pracownik zainstalował system wydobywania kryptowalut pod deskami podłogowymi.
Obsługa kryptominerów za pośrednictwem GitHub
W marcu firma Avast Software poinformowała, że cryptojackerzy używali GitHub jako hosta do wydobywania kryptowalut .
Znajdują legalne projekty, z których tworzą rozwidlony projekt.
Złośliwe oprogramowanie jest następnie ukrywane w strukturze katalogów tego rozwidlonego projektu.
Korzystając ze schematu phishingu, cryptojackerzy wabią ludzi do pobrania tego złośliwego oprogramowania, na przykład poprzez ostrzeżenie o zaktualizowaniu odtwarzacza Flash lub obietnicę stworzenia witryny z grami dla dorosłych.
Wykorzystanie luki rTorrent
Cryptojackerzy odkryli lukę w błędnej konfiguracji rTorrent, która pozostawia niektórych klientów rTorrent dostępnych bez uwierzytelniania do komunikacji XML-RPC.
Skanują Internet w poszukiwaniu zarażonych klientów, a następnie wdrażają na nich koparki kryptowaluty Monero.
F5 Networks zgłosiło tę lukę w lutym i radzi użytkownikom rTorrent, aby upewnić się, że ich klienci nie akceptują połączeń zewnętrznych.
Skompromitowane routery MikroTik rozpowszechniają crypto-minery
Bad Packets poinformował we wrześniu ubiegłego roku, że monitorował ponad 80 kampanii cryptojackingu wymierzonych w routery MikroTik, dostarczając dowodów, że włamano się na setki tysięcy urządzeń.
Kampanie wykorzystywały znaną lukę (<CVE-2018-14847), dla której MikroTik dostarczył łatkę. Jednak nie wszyscy właściciele go stosowali.
Ponieważ MikroTik produkuje routery klasy operatorskiej, osoby dokonujące cryptojackingu miały szeroki dostęp do systemów, które mogły zostać zainfekowane.
Facexworm: złośliwe rozszerzenie Chrome
To złośliwe oprogramowanie, wykryte po raz pierwszy przez Kaspersky Lab w 2017 roku, jest rozszerzeniem Google Chrome, które wykorzystuje Facebook Messenger do infekowania komputerów użytkowników.
Początkowo Facexworm dostarczał adware. Wcześniej w tym roku Trend Micro znalazł różne robaki Facexworm, które atakowały giełdy kryptowalut i były w stanie dostarczyć kod do wydobywania kryptowalut.
Nadal wykorzystuje zainfekowane konta Facebooka do dostarczania złośliwych linków, ale może również kraść konta internetowe i dane uwierzytelniające, co pozwala mu wstrzykiwać kod cryptojacking do tych stron internetowych.
WinstarNssmMiner: Polityka spalonej ziemi
W maju 360 Total Security zidentyfikowało kryptowalutę, która szybko się rozprzestrzeniła i okazała się skuteczna dla cryptojackerów.
To złośliwe oprogramowanie, nazwane WinstarNssmMiner, ma również nieprzyjemną niespodziankę dla każdego, kto próbował go usunąć: powoduje awarię komputera ofiary. WinstarNssmMiner robi to, najpierw uruchamiając proces svchost.exe i wstrzykując do niego kod oraz ustawiając atrybut spamowanego procesu na CriticalProcess.
Ponieważ komputer jest postrzegany jako proces krytyczny, ulega awarii po usunięciu procesu.
CoinMiner wyszukuje i niszczy konkurentów
Cryptojacking stał się na tyle powszechny, że hakerzy projektują swoje złośliwe oprogramowanie, aby znaleźć i zabić już działające kryptowaluty w zainfekowanych systemach. Jednym z przykładów jest CoinMiner.
Według Comodo CoinMiner sprawdza obecność procesu AMDDriver64 w systemach Windows.
W obrębie CoinMiner znajdują się dwie listy, $ malwares i $ malwares2, które zawierają nazwy procesów, o których wiadomo, że są częścią innych kryptowalut. Następnie zabija te procesy.
Jak zapobiegać cryptojackingowi
Wykonaj następujące kroki, aby zminimalizować ryzyko, że Twoja organizacja padnie ofiarą cryptojackingu:
Uwzględnij zagrożenie cryptojacking w swoim szkoleniu z zakresu świadomości bezpieczeństwa , koncentrując się na próbach phishingu, aby załadować skrypty na komputery użytkowników. „Szkolenie pomoże chronić Cię, gdy rozwiązania techniczne mogą zawieść”. Phishing pozostanie główną metodą dostarczania wszelkiego rodzaju złośliwego oprogramowania.
Szkolenie pracowników nie pomoże w automatycznym wykonywaniu cryptojackingu podczas odwiedzania legalnych witryn internetowych. „Szkolenie jest mniej skuteczne w przypadku cryptojackingu, ponieważ nie można powiedzieć użytkownikom, na które strony nie mają wchodzić”.
Zainstaluj rozszerzenie blokujące reklamy lub zapobiegające kopaniu kryptowalut w przeglądarkach internetowych. Ponieważ skrypty do cryptojackingu są często dostarczane za pośrednictwem reklam internetowych, zainstalowanie programu blokującego reklamy może być skutecznym sposobem ich zatrzymania. Niektóre programy do blokowania reklam, takie jak Ad Blocker Plus, mają pewne możliwości wykrywania skryptów wydobywających kryptowaluty. Rozszerzenia, takie jak No Coin i MinerBlock, są przeznaczone do wykrywania i blokowania skryptów wydobywających kryptowaluty.
Używaj ochrony punktów końcowych, która jest w stanie wykryć znanych kopaczy kryptowalut. Wielu dostawców oprogramowania do ochrony punktów końcowych/antywirusów dodało do swoich produktów wykrywanie kopaczy kryptowalut. „Antywirus to jedna z dobrych rzeczy, które należy mieć na punktach końcowych, aby chronić się przed kopaniem kryptowalut. Jeśli jest znany, istnieje duża szansa, że zostanie wykryty”. Należy tylko pamiętać, że pomniejsi autorzy kryptowalut nieustannie zmieniają swoje techniki, aby uniknąć wykrycia na punkcie końcowym.
Aktualizuj swoje narzędzia do filtrowania sieci. Jeśli zidentyfikujesz stronę internetową, która dostarcza skrypty do cryptojackingu, upewnij się, że Twoi użytkownicy nie mają do niej ponownego dostępu.
Zachowaj rozszerzenia przeglądarki . Niektórzy atakujący używają złośliwych rozszerzeń przeglądarki lub infekują legalne rozszerzenia, aby wykonywać skrypty wydobywające kryptowaluty.
Użyj rozwiązania do zarządzania urządzeniami mobilnymi (MDM), aby lepiej kontrolować zawartość urządzeń użytkowników. Zasady „Bring-your-own-device (BYOD)” stanowią wyzwanie w zapobieganiu nielegalnemu wydobywaniu kryptowalut. „MDM może znacznie przyczynić się do zwiększenia bezpieczeństwa BYOD”. Rozwiązanie MDM może pomóc w zarządzaniu aplikacjami i rozszerzeniami na urządzeniach użytkowników. Rozwiązania MDM są zazwyczaj skierowane do większych przedsiębiorstw, a mniejszych firm często na nie nie stać. Jednak zauważamy, że urządzenia mobilne nie są tak zagrożone jak komputery stacjonarne i serwery. Ponieważ mają zwykle mniejszą moc obliczeniową, nie są tak dochodowe dla hakerów.
Żadna z powyższych najlepszych praktyk nie jest niezawodna. W uznaniu tego oraz rosnącego rozpowszechnienia cryptojackingu Koalicja, dostawca rozwiązań w zakresie ryzyka cybernetycznego, oferuje teraz ubezpieczenie od oszustw związanych z usługami. Zgodnie z komunikatem prasowym , zwróci ona organizacjom straty finansowe wynikające z nieuczciwego korzystania z usług biznesowych, w tym wydobywania kryptowalut, i pokryje bezpośrednie straty finansowe.
Jak wykryć cryptojacking
Podobnie jak oprogramowanie ransomware, cryptojacking może wpłynąć na Twoją organizację pomimo najlepszych starań, aby go powstrzymać. Wykrywanie tego może być trudne, zwłaszcza jeśli tylko kilka systemów jest zagrożonych. Nie licz na to, że istniejące narzędzia do ochrony punktów końcowych zatrzymają cryptojacking. „Kod wydobywający kryptowaluty może ukryć się przed narzędziami do wykrywania opartymi na sygnaturach”. „Narzędzia antywirusowe dla komputerów stacjonarnych ich nie zobaczą”.
Oto, co zadziała:.
Przeszkol swoje biuro pomocy, aby szukało oznak wydobywania kryptowaluty. Czasami pierwszą wskazówką jest nagły wzrost liczby skarg pracowników pomocy technicznej dotyczących niskiej wydajności komputera. Powinno to podnieść sygnał do dalszych badań.
Inne sygnały, na które powinien zwrócić uwagę dział pomocy technicznej, to przegrzewanie się systemów, co może spowodować awarię procesora lub wentylatora chłodzącego. „Ciepło [spowodowane nadmiernym zużyciem procesora] powoduje uszkodzenia i może skrócić cykl życia urządzeń”. Dotyczy to zwłaszcza cienkich urządzeń mobilnych, takich jak tablety i smartfony.
Wdróż rozwiązanie do monitorowania sieci. Cryptojacking jest łatwiejszy do wykrycia w sieci firmowej niż w domu, ponieważ większość rozwiązań dla klientów końcowych go nie wykrywa. Cryptojacking można łatwo wykryć za pomocą rozwiązań do monitorowania sieci, a większość organizacji korporacyjnych ma narzędzia do monitorowania sieci.
Jednak niewiele organizacji posiadających sieciowe narzędzia ma możliwości analizowania tych informacji w celu dokładnego wykrywania. Na przykład SecBI opracowuje rozwiązanie oparte na sztucznej inteligencji do analizy danych sieciowych i wykrywania cryptojackingu i innych specyficznych zagrożeń.
Monitorowanie sieci to najlepszy sposób na wykrycie działalności związanej z kopaniem kryptowalut. „Monitorowanie granic sieci, które przegląda cały ruch internetowy, ma większe szanse na wykrycie kryptominerów”. Wiele rozwiązań do monitorowania szczegółowo analizuje tę aktywność dla poszczególnych użytkowników, aby można było określić, na które urządzenia ma to wpływ.
Jeśli masz dobre filtrowanie ruchu wychodzącego na serwerze, na którym obserwujesz inicjację połączenia wychodzącego, może to być dobre wykrywanie [złośliwego oprogramowania wydobywającego kryptowaluty]. Jednak autorzy kryptowalut są w stanie napisać swoje złośliwe oprogramowanie, aby uniknąć tej metody wykrywania.
Monitoruj własne strony internetowe pod kątem kodu do wydobywania kryptowalut . Farral ostrzega, że oszuści szukają sposobów na umieszczenie fragmentów kodu Javascript na serwerach internetowych. „Sam serwer nie jest celem, ale każdy, kto odwiedza samą witrynę [ryzykuje infekcją]”. Zalecane jest regularne monitorowanie zmian plików na serwerze WWW lub zmian samych stron.
Bądź na bieżąco z trendami w zakresie cryptojackingu. Metody dostarczania i sam kod wydobywający kryptowaluty nieustannie ewoluują. Zrozumienie oprogramowania i zachowań może pomóc w wykrywaniu cryptojackingu. „Rozsądna organizacja będzie na bieżąco z tym, co się dzieje. Jeśli rozumiesz mechanizmy dostarczania tego typu rzeczy, wiesz, co konkretny zestaw exploitów dostarcza. Ochrona przed zestawem exploitów będzie zabezpieczeniem przed zainfekowaniem oraz wydobywaniem kryptowalut przez złośliwe oprogramowanie ”.
Na przykład Akamai poinformował w grudniu 2020 r., Że znany botnet zajmujący się wydobywaniem kryptowalut zmienił taktykę, aby uniknąć usunięcia. Operatorzy botnetu dodali do szkodliwego oprogramowania adres portfela bitcoin, a także adres URL interfejsu API do sprawdzania portfela oraz tajemniczą serię zagnieżdżonych jednowierszowych elementów bash. Naukowcy z Akamai doszli do wniosku, że kod wykorzystał dane z portfela pobierane z interfejsu API do obliczenia adresu IP, którego następnie użył do trwałości i infekowania większej liczby systemów.
Jak odpowiedzieć na atak cryptojacking
Usuwaj i blokuj skrypty dostarczane przez witrynę internetową. W przypadku ataków JavaScript w przeglądarce rozwiązanie jest proste po wykryciu kopania kryptowalut: zamknij kartę przeglądarki, uruchamiając skrypt. Powinien zanotować adres URL witryny, która jest źródłem skryptu, i zaktualizować filtry sieciowe firmy, aby go zablokować. Rozważ wdrożenie narzędzi zapobiegających wydobywaniu kryptowalut, aby zapobiec przyszłym atakom.
Zaktualizuj i wyczyść rozszerzenia przeglądarki. „Jeśli rozszerzenie zainfekowało przeglądarkę, zamknięcie karty nie pomoże”. „Zaktualizuj wszystkie rozszerzenia i usuń te, które nie są potrzebne lub są zainfekowane”.
Ucz się i dostosowuj. Skorzystaj z tego doświadczenia, aby lepiej zrozumieć, w jaki sposób osoba atakująca była w stanie złamać zabezpieczenia Twoich systemów. Zaktualizuj swoich użytkowników, dział pomocy technicznej i szkolenia IT, aby mogli lepiej identyfikować próby cryptojackingu i odpowiednio reagować.
