Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Виртуално пространство

Какво е крипто-заробване и как да го откриваме своевременно?

Този процес е свързан с използването на чужди компютри за нерегламентиран добив на криптовалути и далеч не е толкова безопасен, колкото си мислят много хора

от , 12 февруари 2018 0 5042 прочитания,

Крипто-заробването” (cryptojacking) е термин, който описва неразрешената употреба на чужди устройства за добив на криптовалути. За целта хакерите се стремят да подлъжат потребителя да последва злонамерена връзка, изпратена през имейл, която инсталира злонамерен код за добив на криптовалути, или инфилтрират онлайн реклами и сайтове с JavaScript код, който автоматично се изпълнява, веднъж зареден в браузъра на жертвата.

 

1

Прочетете още: 9 приложения на блокчейн, които биха улеснили живота ни

 

Най-неприятното е, че, след инсталирането си, въпросният код работи във фонов режим и нищо неподозиращите жертви продължават да използват компютрите си както обикновено. Единственият знак, който може да ги наведе на мисълта, че са жертва на подобно “заробване”, е по-бавното изпълнение на някои задачи от страна на работната станция.

 Защо крипто-заробването е във възход

Никой не знае със сигурност колко криптовалута се добива към днешна дата чрез метода на крипто-заробване, но няма никакво съмнение, че практиката е широко разпространена заради трудното разкриване на зловредния код, който тя използва. Броят на този вид атаки, базирани на браузър, расте бързо. През ноември миналата година Adguard съобщи за 31% ръст на крипто-заробванията през браузър, след като изследователите откриват цели 33 000 уебсайта с инфилтрирани скриптове за нерегламентиран добив на криптовалути. Този феруари пък докладът The Bad Packet Report открива 34,474 сайта, в които се изпълнява Coinhive, най-популярният зловреден софтуер за добив на криптовалути в JavaScript, който се използва и за легитимна дейност.

"Процесът по добива на криптовалути е в ранна детска възраст. Има много място за растеж и еволюция. Затова и рзличните практики около него не са още широко познати", казва Марк Лалиберте, анализатор на заплахи в доставчика на решения за мрежова сигурност WatchGuard Technologies. Той отбелязва, че е изключително лесно да се разгърне софтуерът Coinhive и да генерира близо 300 хил. долара още през първия месец. "След това той се разраства бързо. Това са наистина лесни пари", добавя експертът.

През януари изследователи в сферата на сигурността откриха ботнет за добив на криптовалути, наречен Smominru, който е успял да зарази повече от половин милион устройства, предимно в Русия, Индия и Тайван. Ботнетът за добив на Monero е насочен към Windows сървърите, като според компанията за киберсигурност Proofpoint до края на януари 2018 г. е генерирал печалби от 3.6 млн. долара.

Въпреки че се оказва много доходоносно, крипто-заробването на компютри дори не изисква значителни технически умения. Според доклада The New Gold Rush (Новата златна треска) на компанията за киберсигурност Digital Shadows инструментите за крипто-заробване са достъпни в “тъмната” мрежа за по-малко от 30 долара.

В тази констатация се крие и основната причина за бума на крипто-заробването - повече пари в по-кратък период срещу по-малък риск. "Хакерите виждат в крипто-заробването по-евтина и по-изгодна алтернатива на атаките с криптовируси", казва Алекс Вайстик, главен технически директор и съосновател на платформата за разследване на инциденти SecBI. “Със софтуер, който криптира съдържанието на атакуваната машина, хакерът може да получи еднократен откуп за 100 заразени компютъра, например. Докато с инструменти за крипто-заробване той може да накара тези 100 компютъра да работят неопределено време за него, като постоянно носят печалба”, предупреждава той.

Рискът зловредният софтуер да бъде уловен и идентифициран също е много по-малък, отколкото при криптовирусите. Кодът за нерегламентиран добив на криптовалути работи тайно и може да остане незабелязан дълго време, а, веднъж разкрит, е много трудно той да се проследи обратно до източника на атаката, защото жертвите нямат достатъчно стимул да разследват инцидента, тъй като не са понесли никакви реални загуби. Освен това, в повечето случаи хакерите предпочитат добива на анонимни криптовалути като Monero и Zcash, защото проследяването им е значително по-трудно в сравнение с Bitcoin.

Как работи крипто-заробването

Хакерите имат два основни начина да накарат компютъра на жертвата тайно да добива криптовалути. Единият е да подмамят жертвите си да заредят зловреден код. Това става с помощта на тактики, подобни на фишинга - жертвите получават легитимно изглеждащ имейл, който ги насърчава да проследят определена връзка, изпълняваща специално създаден за целта код. След това той започва да работи във фонов режим, когато работната станция на жертвата е включена.

 

2

 

Другият метод е свързан с инжектирането на инфектиран скрипт в уебсайт или онлайн реклама. След като жертвите посетят инфектираната връзка, скриптът се изпълнява автоматично, като на компютрите на жертвите не се съхранява код под никаква форма. Независимо кой метод се използва, кодът принуждава компютрите на жертвите да правят множество изчиления и изпраща резултатите до контролиран от хакера сървър.

Самите хакери често използват и двата метода, за да увеличат доходността на своите начинания – от 100 компютъра например те заразяват 10% със софтуер, чийто код е ситуиран на самата машина, а при останалите 90% атаката се извършва през браузъра.

За разлика от повечето други видове зловреден софтуер, скриптовете за нерегламентиран добив на криптовалути не нанасят щети на компютрите или данните на жертвите, а просто ангажират изчислителните им ресурси. За отделни потребители по-ниската работоспособност на компютъра може да е само досадно забавяне, но ако една организация е инфилтрирана по този начин, може да претърпи и реални загуби от понижената производителност.

Как да се предотврати крипто-заробването

Крипто-заробването трудно може да се предотврати, но изпълнението на някои определени стъпки може да сведе до минимум риска за вашата организация. Ето и някои от тях:

На първо място, включете този проблем в обученията по кибресигурност на вашите служители, като се съсредоточите върху тактиките за фишинг атаки. "Обучението ще ви помогне да се радвате на сравнителна сигурност, когато техническите решения се провалят", обръща внимание Лалиберте от WatchGuard Technologies, според когото фишингът ще продължи да бъде основният начин за разпространение на злонамерен софтуер от всички видове.

Обучението на служителите обаче няма да помогне срещу автоматичното изпълнение на злонамерени скриптове след посещение на легитимни уебсайтове. "Обучението е по-малко ефективно в този случай, защото няма как да разберете кои страници са инфилтрирани и, респективно, да забраните на служителите си да влизат в тях", коментира от своя страна Вайстик от SecBI.

Редом с обучението на служителите, инсталирайте инструменти за блокиране на реклами и софтуер за ограничаване на добива на криптовалути в уеб браузърите, които използва компанията ви. Някои софтуери, блокиращи онлайн рекламите, като Ad Blocker Plus, имат вградени функционалности за откриване на подобни кодове. Лалиберте препоръчва разширения като No Coin и MinerBlock, които са проектирани именно за защита на устройствата при подобни атаки.

Също така, ако искате да гарантирате максимално ниво на сигурност за вашата организация, поддържайте инструментите си за уеб филтриране актуализирани. Ако идентифицирате уеб страница, която съдържа скриптове за добив на криптовалути, уверете се, че вашите служители нямат възможност за повторен достъп до нея.

Поддържайте постоянно актуализирани разширенията на браузъра си. Често нападателите използват злонамерени разширения или “отравят” легитимни такива, за да изпълняват кодовете за нерегламентиран добив на криптовалута.

Използвайте инструменти за управление на мобилни устройства (MDM), за да контролирате по-добре дейностите, които вашите служители изпълняват през свои лични устройства, свързани към корпоративната мрежа. Като цяло, политиките от типа BYOD (Bring-your-own-device) са истинско предизвикателство за една компания, когато става дума за предотвратяване на незаконен добив на криптовалути. "MDM са удачен вариант за минимизиране на опасностите, ако изповядвате подобна политика", категоричен е Лалиберте. По думите му това е добро решение за управление на приложения и разширения на устройствата на потребителите, които имат достъп до корпоративната мрежа. Проблемът е, че те в повечето случаи са насочени към по-големите компании, а по-малките често не могат да си ги позволят. В тази връзка Лалиберте добавя, че като цяло мобилните устройства не са толкова застрашени, колкото настолните компютри и сървърите, тъй като те по условие разполагат с по-малко изчислителна мощ.

Как да бъдат прихванати опитите за крипто-заробване

Подобно на криптовирусите, зловредните кодове за добив на криптовалута са способни да пробият вашата защита, независимо от всичките ви усилия. Откриването им също така може да бъде трудно, особено ако са компрометирани само няколко системи. В този случай не трябва да разчитате на вашите налични инструменти за защита на крайните устройства, а обучете екипите си, отговарящи за поддръжката на ИТ системите, как да откриват признаците за наличие на подобни зловредни скриптове. “Понякога първата индикация се свежда до ръст в броя на оплакванията от производителността на компютрите. Подобно явление трябва да ви послужи като сигнална лампа за нередности”, съветва Вайстик от SecBI.

 Други сигнали, за които трябва да следите, включват индикации за прегряване на системите, които могат да доведат до дефекти на процесорите и охлаждането”, добавя Лалиберте и акцентира върху факта, че подобни явления са способни да намалят значително жизнения цикъл на устройствата, особено когато става дума за мобилни устройства като таблети и смартфони.

 

3

 

Друг вариант за превенция е разгръщането на решения за мрежово наблюдение. Вайстик смята, че зловредните скриптове за добив на криптовалута могат да бъдат открити по-лесно в една корпоративна мрежа, отколкото на домашния компютър, защото повечето потребителски решения нямат подходящи функционалности. В същото време, инструментите за мониторинг на мрежите лесно откриват подобна активност, а такива има в повечето компании, които обаче изпитват трудности при анализа на информацията и навременното откриване на заплахата. Затова и много компании, като SecBI, разработват решения в сферата, базирани на изкуствен интелект, които в реално време да анализират данните, подавани от системите за наблюдение и управление на мрежите.

"Мрежов мониторинг, който преглежда целия уеб трафик, има голям шанс да открие зловредните скриптове", съгласен е и Лалиберте и добавя, че много подобни решения проследяват дейността на отделните потребители и могат да определят точно кои устройства са засегнати.

Как да реагираме при подобна атака?

Просто премахнете и блокирайте зловредните скриптове. След като бъде открита подобна активност, за JavaScript атаките в браузъра решението е лесно – деактивирайте раздела, изпълняващ скрипта. ИТ екипът трябва да отбележи URL адреса на уебсайта, който е източник на скрипта, и да актуализира уеб филтрите на компанията, за да го блокира.

Актуализирайте и почиствайте разширенията на браузъра си. "Ако зловредно разширение инфектира браузъра ви, затварянето на раздела няма да ви помогне. Актуализирайте всички разширения и премахнете тези, които не са ви необходими или са доказано заразени", съветва Лалиберте.

Учете се и се адаптирайте. Използвайте досегашния си и бъдещия си опит, за да разберете по-добре как атакуващите са в състояние да компрометират вашите системи. Актуализирайте своята стратегия за киберсигурност и тренинг програмите си в сферата, за да могат служителите ви по-добре да идентифицират опитите за крипто-заробване и да отговорят по подходящ начин.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов