Что такое cryptojacking? Как предотвратить, обнаружить и восстановиться от него

Перевод статьи: Michael Nadeau — What is cryptojacking? How to prevent, detect, and recover from it

Cryptojacking (Крипто-взлом) определение

Cryptojacking — это несанкционированное использование чужого компьютера для майнинга криптовалюты. Хакеры осуществляет такую атаку, либо заставляя жертву нажимать на вредоносную ссылку в электронном письме, которое загружает код криптомайнинга на компьютер, либо заражая веб-сайт или онлайн-рекламу кодом JavaScript, который автоматически выполняется после загрузки в браузер жертвы.

В любом случае, криптомайнирующий код работает в фоновом режиме, так как ничего не подозревающие жертвы используют свои компьютеры како обычно. Единственный признак, который они могут заметить, — это снижение производительности.

Как работает cryptojacking

У хакеров есть два основных способа заставить компьютер жертвы тайно добывать криптовалюты. Один из них заключается в том, чтобы обмануть жертв в загрузке криптоминирующего кода на их компьютеры. Это делается с помощью фишинг-подобной тактики: жертвы получают обычно выглядящее электронное письмо, в котором им предлагается нажать на ссылку. По ссылке запускается код, который помещает скрипт криптомайнинга на компьютер. Затем скрипт работает в фоновом режиме, когда жертва работает.

Другой метод заключается в добавлении сценария на веб-сайт или в рекламу, размещаемую на нескольких веб-сайтах. Когда жертва посещает веб-сайт или в их браузерах появляется зараженная реклама, скрипт автоматически запускается. При этом код не хранится на компьютерах жертв. Какой бы метод ни использовался, код запускает сложные математические задачи на компьютерах жертв и отправляет результаты на сервер, которым управляет хакер.

Хакеры часто используют оба метода, чтобы максимизировать свое возвращение на компьютер жертвы. «Атаки используют старые вредоносные уловки для доставки более надежного программного обеспечения [на компьютеры жертв] в качестве запасного варианта», — говорит Алекс Вайстих, технический директор и соучредитель SecBI. Например, из 100 устройств, добывающих криптовалюты для хакера, 10% могут получать доход от кода на компьютерах жертв, а 90% — через веб-браузеры.

Некоторые сценарии криптомайнинга имеют функции подобные вирусам червей, которые позволяют им заражать другие устройства и серверы в сети. Это также затрудняет их поиск и удаление; поддержание постоянства в сети отвечает наилучшим финансовым интересам криптоджекера.

Чтобы повысить их способность распространяться по сети, код криптомайнинга может включать несколько версий для учета различных архитектур в сети. В одном примере, описанном в блоге AT & T Alien Labs, код криптомайнинга просто загружает имплантаты для каждой архитектуры, пока одна из них не заработает.

Скрипты также могут проверять, заражено ли уже устройство конкурирующим вредоносным ПО. Если обнаружен другой криптомайнер, скрипт отключает его. Криптомайнер может также иметь механизм предотвращения уничтожения, который запускается каждые несколько минут, как отмечается в публикации AT & T Alien Lab.

В отличие от большинства других типов вредоносных программ, скрипты криптоджакинга не наносят вреда компьютерам или данным жертв. Они крадут ресурсы процессора. Для отдельных пользователей снижение производительности компьютера может быть простым раздражением. Организация со многими криптографическими системами может понести реальные затраты с точки зрения поведения службы поддержки и затрат времени ИТ-специалистов на отслеживание проблем производительности и замену компонентов или систем в надежде решить эту проблему.

Почему криптоджекинг популярен

Никто не знает наверняка, сколько криптовалют добывается с помощью cryptojacking, но нет сомнений в том, что эта практика процветает. Поначалу количество cryptojacking атак на основе браузера быстро росло, но, похоже, теперь количество уменьшается, вероятно, из-за волатильности криптовалюты и закрытия Coinhive, самого популярного майнера JavaScript, который также использовался для законной криптомайнизации, в марте 2019 года. Отчет The 2020 SonicWall Cyber Threat Report показывает, что во втором полугодии 2019 года объем атак с использованием cryptojacking атак упал на 78% в результате закрытия Coinhive.

Однако снижение началось раньше. В отчете Positive Technology’s Cybersecurity Threatscape Q1 2019 показано, что на криптомайнинг сейчас приходится только 7% всех атак по сравнению с 23% в начале 2018 г. В докладе говорится, что киберпреступники больше переключились на вымогателей, что считается более прибыльным.

«Cryptomining находится в зачаточном состоянии. Существует много возможностей для роста и развития », — говорит Марк Лалиберте, аналитик угроз в поставщике решений для сетевой безопасности WatchGuard Technologies.

В январе 2018 года исследователи обнаружили бот-сеть Cryptomining Smominru, которая заразила более полумиллиона машин, в основном в России, Индии и на Тайване. Ботнет предназначался для серверов Windows, чтобы добывать Monero, и компания Proofpoint по кибербезопасности подсчитала, что по состоянию на конец января она принесла $ 3,6 млн.

Cryptojacking даже не требует значительных технических навыков. Согласно отчету, The New Gold Rush Cryptocurrencies Are the New Frontier of Fraud от Digital Shadows, наборы криптомайнинга доступны в dark web всего за 30 долларов.

Простая причина, по которой криптохакерство становится все более популярным у хакеров, — больше денег при меньшем риске. «Хакеры видят в cryptojacking более дешевую и выгодную альтернативу вымогателям», — говорит Вайстих. По его словам, с помощью вымогателей хакер может заставить трех человек платить из каждых 100 зараженных компьютеров. С помощью cryptojacking все 100 из этих зараженных машин работают на то, чтобы хакер майнил криптовалюту. «[Хакер] может сделать то же самое, что и эти три вымогателей, но криптомайнинг постоянно генерирует деньги», — говорит он.

Риск быть пойманным и идентифицированным также намного меньше, чем с помощью вирусов вымогателей. Код криптомайнинга работает тайно и может оставаться незамеченным в течение длительного времени. После обнаружения очень трудно найти источник, и у жертв мало стимулов для этого, поскольку ничего не было украдено или зашифровано. Хакеры, как правило, предпочитают анонимные криптовалюты, такие как Monero и Zcash, более популярным биткойнам, потому что отследить нелегальную деятельность им сложнее.

Реальные примеры cryptojacking

Криптоджакеры очень умны, и они разработали ряд схем, чтобы заставить компьютеры других людей добывать криптовалюту. Большинство не новы; методы доставки криптомайнинга часто основаны на методах, используемых для других типов вредоносных программ, таких как вирусов вымогателей или рекламные скрипты. «Вы начинаете видеть много традиционных вещей, которые злоумышленники делали в прошлом», — говорит Трэвис Фаррал, директор по стратегии безопасности в Anomali. «Вместо того, чтобы внедрять вымогателей или троянов, они переоснащают свои инструменты для доставки крипто-майнинг модулей или компонентов».

Вот несколько реальных примеров:

Подводная рыбалка PowerGhost крадет учетные данные Windows

В отчете «The Illicit Cryptocurrency Mining Threat Cyber Threat Alliance’s (CTA’s), описывается PowerGhost, впервые проанализированный Fortinet, как скрытое вредоносное ПО, которое может быть обнаружено различными способами. Сначала он использует фишинг, чтобы закрепиться в системе, а затем крадет учетные данные Windows и использует для распространения инструментарий управления Windows и эксплойт EternalBlue. Затем он пытается отключить антивирусное программное обеспечение и конкурирующие криптомайнеры.

Graboid, криптомайндер-червь, распространяемый с использованием контейнеров

В октябре Palo Alto Networks опубликовала отчет, описывающий как криптографический ботнет с самораспространяющимися возможностями. Graboid, как его назвали, является первым известным криптомайнирующим червем. Он распространяется путем обнаружения развертываний Docker Engine, которые доступны в Интернете без аутентификации. По оценкам Palo Alto Networks, Graboid заразил более 2000 развертываний Docker.

Вредоносный Docker Hub

В июне 2020 года Palo Alto Networks определила схему криптографического взлома, которая использовала образы Docker в сети Docker Hub для доставки программного обеспечения для криптомайнинга в системы жертв. Размещение криптомайнирующего кода в образе Docker помогает избежать обнаружения. К зараженным файлам изображений обращались более двух миллионов раз, и, по оценкам Пало-Альто, крипто-злоумышленники получили 36 000 долларов в виде нечестно полученных доходов.

Вариант MinerGate приостанавливает выполнение, когда компьютер жертвы начинает использоваться

Согласно отчету CTA, Palo Alto Networks проанализировала вариант семейства вредоносных программ MinerGate и обнаружила интересную особенность. Он может обнаружить движение мыши и приостановить деятельность по майнингу. Это позволяет избежать обнаружение жертвой, которая в противном случае может заметить снижение производительности.

BadShell использует процессы Windows, чтобы сделать свою грязную работу

Несколько месяцев назад Comodo Cybersecurity обнаружил вредоносное ПО в клиентской системе, которое использовало законные процессы Windows для майнинга криптовалюты. Он получил название BadShell и использовал:

  • PowerShell для выполнения команд — скрипт PowerShell внедряет вредоносный код в существующий работающий процесс.
  • Планировщик задач, чтобы обеспечить постоянный перезапуск
  • Реестр для хранения кода вредоносного ПО

Вы можете найти более подробную информацию о том, как BadShell работает в Comodo’s Global Threat Report Q2 2018 Edition.

Мошенники среди сотрудников

На конференции EmTech Digital в начале этого года Darktrace рассказала историю о клиенте, европейском банке, который выявил некоторые необычные схемы использования трафика на своих серверах. Ночные процессы начали протекать медленнее чем обычно, а диагностические инструменты банка не могли ничего обнаружить. Darktrace обнаружил, что в это время в сеть вступали новые серверы — серверы, которые, по словам работников банка, не могли существовали. Физический осмотр центра обработки данных показал, что сотрудник банка установил систему криптомайнинга скрытно под половицами в офисе.

Обслуживание криптомайнеров через GitHub

В марте Avast Software сообщила, что криптоджекеры используют GitHub в качестве хоста для криптоминирования вредоносных программ. Они находят обычные проекты, в которые они внедряют свое ПО. И вредоносная программа скрывается в структуре каталогов этого проекта. Используя схему фишинга, криптоджакеры заманивают людей загружают эти вредоносные программы, например, с помощью предупреждения об обновлении своего Flash-плеера или заманками на сайтах с контентом для взрослых.

Использование уязвимости rTorrent

В какой то момент криптоджекеры обнаружили уязвимость неправильной конфигурации rTorrent, которая делает некоторые клиенты rTorrent доступными без аутентификации для связи XML-RPC. Они просканировали Интернет на наличие открытых клиентов и затем устанавливают на них криптомайнер Monero. F5 Networks сообщила об этой уязвимости в феврале и рекомендует пользователям rTorrent убедиться, что их клиенты не принимают внешние подключения.

Facexworm: Вредоносное расширение Chrome

Это вредоносное ПО, впервые обнаруженное Лабораторией Касперского в 2017 году, является расширением Google Chrome, которое использует Facebook Messenger для заражения компьютеров пользователей. Изначально Facexworm показывало рекламное ПО. Ранее в этом году Trend Micro обнаружила множество Facexworm, которые предназначалиось для обмена криптовалютами и было способно предоставлять код криптомайнинга. Оно по-прежнему использует зараженные учетные записи Facebook для доставки вредоносных ссылок, и также может похищать веб-учетные записи и учетные данные, что позволяет внедрять в эти веб-страницы код криптомайнинга.

WinstarNssmMiner: политика выжженной земли

В мае 360 Total Security идентифицировали криптомайнера, который быстро распространился и доказал свою эффективность для криптоджекеров. Эта вредоносная программа, получившая название WinstarNssmMiner, также представляет собой неприятный сюрприз для всех, кто пытался ее удалить: она провоцировала выход из строя компьютеров жертвы. WinstarNssmMiner делала это, сначала запустив процесс svchost.exe, внедрив в него соотвествующий код и установив атрибут порожденного процесса в CriticalProcess. И при попытки остановки этого процесса компьютер зависает так как рассматривает этот процесс как критический.

CoinMiner ищет и уничтожает конкурентов

Криптоджекинг стал настолько распространенным, что хакеры разрабатывают свои вредоносные программы для поиска и уничтожения уже работающих криптомайнеров в системах, которые они заражают. CoinMiner является одним из примеров.

По словам Комодо, CoinMiner проверяет наличие процесса AMDDriver64 в системах Windows. В состав вредоносного ПО CoinMiner входят два списка: $malwares и $malwares2, которые содержат имена процессов, которые, как известно, являются частью других криптомайнеров. И при обнаружение этих процессов он пытается остановить их.

Скомпрометированные роутеры MikroTik

В сентябре прошлого года Bad Packets сообщили, что она выявила более 80 криптографических кампаний, использующих маршрутизаторы MikroTik, которые были взломаны. В этих кампаниях использовалась известная уязвимость (CVE-2018-14847), для которой MikroTik предоставил исправление. Однако не все владельцы применили его. Поскольку MikroTik производит маршрутизаторы операторского уровня, злоумышленники имели широкий доступ к системам, которые были заражены.

Как предотвратить cryptojacking

Предлагаю выполнить следующие действия, чтобы свести к минимуму риск того, что ваша организация станет жертвой крипто-взлома:

Включите угрозу cryptojacking в свои тренинги по повышению безопасности, сосредоточив внимание на попытках фишингового типа загрузить скрипты на компьютеры пользователей. «Обучение сотрудников защитить вас, когда технические решения потерпять неудачу», — говорит Лалиберте. Он считает, что фишинг по-прежнему будет основным методом доставки вредоносных программ всех типов.

Обучение сотрудников не поможет с автоматическим выполнением криптоджекинга при посещении обычных веб-сайтов. «Обучение менее эффективно для крипто-взлома, потому что вы не можете сказать пользователям, какие сайты не стоит посещять», — говорит Вайстих.

Установите в браузерах расширение для блокировки рекламы или анти-криптомайнинга. Поскольку сценарии крипто-взлома часто доставляются через веб-рекламу, установка блокировщика рекламы может быть эффективным средством их остановки. Некоторые блокираторы рекламы, такие как Ad Blocker Plus, имеют возможность обнаруживать сценарии криптомайнинга. Laliberte рекомендует такие расширения, как No Coin и MinerBlock, которые предназначены для обнаружения и блокировки сценариев криптомайнинга.

Используйте защиту для рабочих станций, которая способна обнаруживать известные криптомайнеры. Многие поставщики антивирусного программного обеспечения для защиты рабочих станций добавили обнаружение крипто-майнеров в свои продукты. «Антивирус — это одна из хороших вещей на рабочих станций, чтобы попытаться защитить от криптомайнинга. Если вирус известен, то есть большая вероятность, что он будет обнаружен», — говорит Фаррал. Просто имейте в виду, добавляет он, что авторы вирусов постоянно меняют свои методы, чтобы избежать обнаружения.

Держите ваши инструменты веб-фильтрации в актуальном состоянии. Если вы обнаружили веб-страницу, со скриптами криптоджеккинга, убедитесь, что ваши пользователи больше не получат к ней доступа.

Поддерживать расширения браузера. Некоторые злоумышленники используют вредоносные расширения браузера или рекламируют как бы обычные расширения которые выполняют сценарии криптомайнинга.

Используйте решение для управления мобильными устройствами (mobile device management — MDM), чтобы лучше контролировать то, что находится на пользовательских устройствах. Политика «использования своего собственного устройства» (BYOD) представляют собой проблему для предотвращения незаконного криптомайнига. «MDM может значительно повысить безопасность BYOD», — говорит Лалиберте. Решение MDM может помочь в управлении приложениями и расширениями на пользовательских устройствах. Решения MDM, как правило, ориентированы на крупные предприятия, а небольшие компании часто не могут себе их позволить. Однако Лалиберте отмечает, что мобильные устройства не так подвержены риску, как настольные компьютеры и серверы. Поскольку они, как правило, имеют меньшую вычислительную мощность, они не так выгодны для хакеров.

Ни одна из вышеперечисленных лучших практик не является надежной. В знак признания этого и растущей распространенности крипто-взлома поставщики решений для киберрисков теперь предлагает страховое покрытие от мошенничества. Согласно пресс-релизу, оно может возместит возместит финансовые убытки в результате мошеннического использования бизнес-услуг, включая криптомайнинг.

Как обнаружить cryptojacking

Как и вымогатели, криптовалюта может повлиять на вашу организацию, несмотря на все ваши усилия, чтобы остановить его. Обнаружение этого может быть трудным, особенно если скомпрометированы только несколько систем. Не надейтесь на свои существующие инструменты защиты конечных точек, чтобы выявить криптомайнинг. «Код Cryptomining может скрываться от инструментов обнаружения на основе сигнатур», — говорит Лалиберте. «Обычные антивирусные инструменты их не увидят». Вот что будет работать:

Обучите свою службу поддержки искать признаки криптомайнинга. Иногда первым признаком является всплеск жалоб службы поддержки на низкую производительность, говорит Вайстих из SecBI. Это должно поднять красный флаг для дальнейшего расследования.

По словам Лалиберте, служба поддержки должна искать перегрев систем, что может привести к отказам ЦП или вентиляторов. «Тепло [от чрезмерной загрузки процессора] наносит ущерб и может сократить жизненный цикл устройств», — говорит он. Это особенно верно для тонких мобильных устройств, таких как планшеты и смартфоны.

Разверните решение для мониторинга сети. Вайстих считает, что криптоджекинг легче обнаружить в корпоративной сети, чем дома, потому что большинство решений для конечных пользователей не обнаруживают его. Криптоджекинг легко обнаружить с помощью решений для мониторинга сети, и большинство корпоративных организаций имеют инструменты для мониторинга сети.

Однако лишь немногие организации, располагающие сетевыми инструментами и данными, имеют инструменты и возможности для анализа этой информации для точного обнаружения. SecBI, например, разрабатывает решение для искусственного интеллекта для анализа сетевых данных и обнаружения криптографического взлома и других специфических угроз.

Лалиберте соглашается с тем, что мониторинг сети — это ваш лучший выбор для обнаружения активности криптомайнинга. «Мониторинг периметра сети, который проверяет весь веб-трафик, имеет больше шансов обнаружить криптомайнеров», — говорит он. Многие решения по мониторингу позволяют детализировать эту активность для отдельных пользователей, чтобы вы могли определить, какие устройства затронуты.

«Если у вас есть хороший мониторинг на серверах, где вы отслеживаете инициирование исходящего соединения, это может быть хорошим способом обнаружением вредоносного ПО», — говорит Фаррал. Тем не менее, он предупреждает, что авторы криптомайнера способны писать свои вредоносные программы, чтобы избежать этого метода обнаружения.

Контролируйте свои собственные сайты для крипто-майнинг кода. Фаррал предупреждает, что крипто-джеки находят способы разместить биты кода Javascript на веб-серверах. «Сам сервер не является целью, но любой, кто посещает сам сайт [рискует заразиться]», — говорит он. Он рекомендует регулярно отслеживать изменения файлов на веб-сервере или изменения самих страниц.

Будьте в курсе криптовалютных тенденций. Методы доставки и сам код крипто-майнинга постоянно развиваются. По словам Фаррала, понимание программного обеспечения и поведения может помочь вам обнаружить криптомайнинг. «Правильная организация должна быть в курсе того, что происходит. Если вы понимаете механизмы доставки этих типов вещей, то вы будете знать, что какой конкретный набор эксплойтов доставляет криптографические материалы. Защита от соотвествущего набора эксплойтов будет защитой от заражения криптомайнингом ПО «, — говорит он.

Как реагировать на cryptojacking атаку

Убивать и блокировать скрипты, доставляемые с сайта. Для атак JavaScript в браузере решение будет простым после обнаружения криптомайнинга: убейте вкладку браузера, в которой выполняется скрипт. ИТ-специалисты должны запомнить URL-адрес веб-сайта, который является источником сценария, и обновить веб-фильтры компании, чтобы заблокировать его. Рассмотрите возможность развертывания средств анти-криптомайнинга, чтобы помочь предотвратить будущие атаки.

Обновите и очистите расширения браузера. «Если расширение заражает браузер, закрытие вкладки не поможет», — говорит Лалиберте. «Обновите все расширения и удалите ненужные или зараженные».

Учиться и адаптироваться. Используйте полученый опыт, чтобы лучше понять, как злоумышленник смог скомпрометировать ваши системы. Оповестите о данной проблемы ваших пользователях, службу поддержки и ИТ-специалистов, чтобы они могли лучше выявлять попытки криптомайнига и реагировать соответствующим образом.