Nowe formy ataku znane r�wnie? jako cryptojacking s? ukierunkowane zar�wno na urz?dzenia ko?cowe, jak i serwery (te lokalnie, jak i te dost?pne z chmury). Cel jest jeden: przej?? sie? urz?dze? (botnet) i wykorzysta? ich procesory (CPU) do kopania kryptowaluty przy zminimalizowaniu koszt�w �w?asnych i inwestycji w sprz?t.

Prymitywne organizmy zaka?ne zabijaj? gospodarza, zyskuj?c jednorazow? korzy??: podtrzymanie gatunku. Te bardziej zaawansowane ?eruj? na swoich nosicielach, ?yj? w organizmie gospodarza lub na nim i pobieraj? sk?adniki od?ywcze jego kosztem. Ich g?�wnym celem jest wykorzystywanie ?ywiciela, a nie niszczenie go. Podobna sytuacja wyst?puje w ?wiecie cyfrowym, paso?yty � najcz??ciej niewykryte – nie usuwaj?, nie szyfruj? danych ani nie ??daj? za nie okupu, za to wykorzystuj? moc obliczeniow? �nosiciela�, kt�ra jest cennym towarem w ?wiecie wydobywania kryptowalut. Osoby wykorzystuj?ce ten proceder, nap?dzane szans? zysku, tworz? narz?dzia do wydobywania kryptowalut, by wykorzysta? obecny boom.

To zjawisko ukrytego z?o?liwego oprogramowania, staje si? coraz popularniejsze, poniewa? jest skutecznym sposobem generowania przychod�w przy mniejszej szansie wykrycia. Celem jest kradzie? mocy obliczeniowej procesora (CPU), przez co oprogramowanie w istocie staje si? czym? w rodzaju cyfrowego paso?yta.

Cyfrowa gor?czka z?ota

Cryptomining cz??ciej nazywany kopaniem kryptowalut jest procesem intensywnym – konsekwentnie realizuje obliczenia matematyczne, kt�re potrafi? wykorzysta? 100% mocy obliczeniowej procesora. Osoby zajmuj?ce si? tym procederem na du?? skal? dokonuj? sporych inwestycji w specjalistyczny sprz?t i infrastruktur? (hosting, ch?odzenie, energi? elektryczn? itp.), by uzyska? p�?niejszy zwrot i sta? si? rentownym. Korzystniejsze jest jednak kopanie kryptowalut poprzez wykorzystanie sieci zainfekowanych komputer�w, kradzie? cyklu procesora i pozostawienie u?ytkownikom ko?cowym obni?onej wydajno?ci, przy jednoczesnym zwi?kszeniu ponoszonych przez nich koszt�w energii. Dotyczy to zar�wno infrastruktury on-premise, ale te? chmury, kt�rej koszty okre?lane s? na podstawie jej faktycznego wykorzystania.

W przypadku Bitcoina, jego uzyskanie z wykorzystaniem procesor�w GPU lub nawet starszych specjalizowanych uk?ad�w scalonych (ASIC) nie jest w stanie da? wymaganego zwrotu z inwestycji – koszt zu?ycia energii jest wi?kszy ni? zyski. Z wyj?tkami, wydobycie Bitcoina jest zwykle ograniczone do wi?kszych operacji, w kt�rych koszt energii jest ni?szy i dotyczy wykorzystania energii wodnej lub energii subsydiowanej (dotowanej). St?d te? du?a liczba “altcoin�w” (walut alternatywnych dla Bitcoina, kt�re wykorzystuj? inne algorytmy o ni?szych poziomach trudno?ci) zyska?a na popularno?ci. Nale?? do nich np. Ethereum i Monero. Podczas, gdy niekt�re �alty� maj? unikaln? u?yteczno?? czy funkcjonalno??, to przede wszystkim same w sobie zapewniaj? mo?liwo?? czerpania sporych zysk�w, gdy? mog? by? wymieniane na Bitcoiny. Monero jest popularnym botnetem, w kt�rym kilka tysi?cy zainfekowanych system�w mo?e przynosi? setki tysi?cy dolar�w rocznie.

Cyfrowe paso?yty

Urz?dzenia ko?cowe cz?sto s? wykorzystywane za po?rednictwem przegl?darki internetowej. Objawem zainfekowania jest zwykle powolne dzia?anie, wysokie u?ycie procesora i maksymalne obroty wentylator�w. Przeprowadzone przez niezale?nego specjalist? ds. bezpiecze?stwa Williama DeGroota badanie wskazuje, ?e ??wszystkie z 2496 przeanalizowanych przez niego witryn, zawiera?o nieaktualne oprogramowanie ze znanymi lukami w zabezpieczeniach, kt�re to luki zosta?y wykorzystane do przej?cia kontroli przez napastnik�w. Atakuj?cy uzyskali dost?p do ?rodowiska, by doda? kod, kt�ry niejawnie korzysta? z procesor�w i energii elektrycznej os�b odwiedzaj?cych strony, by wygenerowa? cyfrow? walut? znan? jako Monero. Innym wariantem jest “drive-by�, gdzie ukryte i trwale otwarte okienko przegl?darki wisi nawet po zamkni?ciu strony www.

Na ataki podatne s? r�wnie? urz?dzenia mobilne, tym bardziej, ?e skrypty wyszukuj?ce kryptowaluty �mog? dzia?a? w tle, przez co trudniej je zidentyfikowa?. Jednym z przyk?ad�w jest wariant Androida o nazwie ADB.Miner. Zwykle dzia?a na zrootowanych urz?dzeniach, u?ywaj?cych tego samego kodu skanowania, co botnet Mirai i tych samych technik, kt�re pomagaj? zidentyfikowa? �otwarte� i dost?pne urz?dzenia. Gdy uda mu si? takie urz?dzenie zidentyfikowa?, z?o?liwy program zaczyna je infekowa? i kopa? kryptowalut? Monero jednocze?nie rozprzestrzeniaj?c si? na inne urz?dzenia. Aplikacje mobilne takie jak Minergate Mobile do wyszukiwania kryptowalut, oraz dziesi?tki innych, dost?pne s? od 2016 roku do pobrania bezpo?rednio z Internetu. Ich wersje s? zwykle instalowane na urz?dzeniach zrootowanych lub z jailbreakiem.

W przypadku atak�w na serwery nie mamy ju? do czynienia np. ze spamem farmaceutycznym, oprogramowaniem typu “ransomware” lub DDoS. Boty hostuj? aplikacje takie jak Minergate i Smominru. Aplikacje dzia?aj? dyskretnie i regularnie kontaktuj? si? z pul? host�w kontroluj?cych ich funkcjonowanie w celu przes?ania oblicze? i odebrania kolejnych blok�w zada?. Mog? one zosta? przes?ane za po?rednictwem spamu zawieraj?cego takie za??czniki, jak np. z?o?liwe dokumenty Word. Cz?stym celem s? systemy pod??czone bezpo?rednio do internetu oferuj?ce dost?p za pomoc? protoko?u RDP, ze s?abymi has?ami i bez uwierzytelniania wielosk?adnikowego. � m�wi Sebastian Kisiel z Citrix Systems Poland.

Atakuj?cy u?ywaj? brutalnych atak�w s?ownikowych i pozostaje kwesti? czasu, gdy has?a zostan? z?amane. Gdy tak si? stanie, nale?y liczy? si? z za?o?eniem kont backdoor i pr�bami stworzenia zapasowych form dost?pu. Podobnie jak w przypadku innych atak�w, cryptojacking po stronie serwera mo?e sta? si? bardziej z?o?ony i skomplikowany po tym, jak si? rozprzestrzeni.

Jednym z najnowszych zagro?e? typu cryptojacking jest robak WannaMine, kt�ry stosuje mi?dzy innymi takie techniki jak sta?e subskrypcje us?ugi Windows Management Instrumentation (WMI). Rozprzestrzenia si? r�wnie? poprzez exploit EternalBlue. Korzysta on z oprogramowania systemowego, takiego jak WMI i PowerShell, co utrudnia lub uniemo?liwia organizacjom blokowanie go bez oprogramowania antywirusowego nowej generacji.

Jak si? chroni??

Obrona przed atakami typu cryptojacking wymaga holistycznego podej?cia i budowy odpowiedniej architektury bezpiecze?stwa. Podej?cie to musi koncentrowa? si? na zapobieganiu, a tak?e na wykrywaniu potencjalnych zagro?e?. Kompleksowa ochrona zar�wno r�?nych punkt�w ko?cowych, sieci, serwer�w czy ?rodowisk chmurowych cz?sto wymaga po??czenia kilku technologii naraz. �Nale?y chroni? przegl?darki, uniemo?liwiaj?c dost?p do z?o?liwych stron internetowych i z?o?liwego oprogramowania, a tak?e poddawa? analizie przychodz?ce dane i w razie potrzeby blokowa? do nich dost?p.

Zarz?dzanie urz?dzeniami ko?cowymi przy pomocy odpowiedniego oprogramowania EMM pozwala wykrywa? zrootowane urz?dzenia, a nast?pnie podejmowa? r�?norodne dzia?ania prewencyjne, takie jak m.in. powiadamianie administratora, blokowanie aplikacji, czy selektywne wymazywanie urz?dzenia. Je?li korzystamy tylko z rozwi?zania typu MAM, aplikacje zawieraj?ce framework MDX, takie jak np. bezpieczna przegl?darka www (Secure Web), mog? sprawdza? i blokowa? uruchamianie podejrzanych stron. Aplikacja Secure Web mo?e by? skonfigurowana tak, aby blokowa? strony znane z rozprzestrzeniania szkodliwego oprogramowania, zezwalaj?c tylko na uruchamianie bezpiecznych domen internetowych, okre?lonych w ramach tzw. bia?ej listy adres�w URL.�� dodaje Sebastian Kisiel. �

Oddzieln? rekomendacj? odno?nie bezpiecze?stwa przegl?darek jest wy??czanie wykonywania skrypt�w javascript, flash, java i innych aktywnych tre?ci, za ka?dym razem gdy jest to tylko mo?liwe. Dla firm korzystanie z Secure Browser jako us?ugi mo?e skutkowa? zmniejszeniem obszaru ewentualnego ataku, poprzez blokowanie skrypt�w wydobywczych, a tak?e blokowanie okresowych wywo?a? zwrotnych do host�w kontroluj?cych dzia?anie koparek kryptowalut.

W przypadku serwer�w i ?rodowisk chmurowych warto skupi? si? na ograniczeniu ekspozycji i ochronie hase? administrator�w. W momencie, gdy atakuj?cy uzyska dost?p na takim poziomie, mo?e pomin?? oprogramowanie zabezpieczaj?ce i np. bia?e listy zdefiniowane w organizacji. Z?o?one has?a i uwierzytelnianie wielosk?adnikowe stanowi? fundament bezpiecze?stwa, ale cz?sto ich znaczenie jest deprecjonowane. Znajduje to odzwierciedlenie w badaniu Verizon DBIR z 2017 roku, gdzie czytamy, ?e “81% narusze? zwi?zanych z w?amaniami wykorzysta?o skradzione i / lub s?abe has?a.” Aby ograniczy? ryzyko narusze? warto rozwa?y? zastosowanie bramki RDP, kt�ra pozwala zastosowa? nie tylko uwierzytelnianie wieloczynnikowe, ale tak?e funkcj? SmartAccess wykonuj?c? analiz? punktu ko?cowego. Tym samym mo?na skanowa? punkty / urz?dzenia ko?cowe np. pod k?tem posiadanego certyfikatu, w??czonego firewalla, obecno?ci oprogramowania anty maleware, itp. by wykaza?, ?e urz?dzenia s? zarz?dzanym punktem ko?cowym, a tym samym bezpiecznym i z wy?szym poziomem zaufania.

Kluczowym elementem w zakresie bezpiecze?stwa jest r�wnie? wczesne wykrywanie anomalii, takich jak pliki w utylizacji procesora, przekraczaj?ce normalny zdefiniowany pr�g (thresold) typowy dla jego normalnej pracy. Dzia? IT powinien mie? zdefiniowane progi okre?laj?ce normaln? prac? procesora wraz ze zdefiniowanymi alertami wysy?anymi do administrator�w, gdy jego u?ycie wzro?nie powy?ej wyznaczonego poziomu. Kilka uwag dodatkowych dotyczy tego, by alerty ignorowa?y nazwy proces�w – cyfrowy paso?yt zwykle chce pozosta? niewykryty i mo?e by? zamaskowany jako us?uga systemowa. Osoby odpowiedzialne za ataki s? w stanie zestroi? proces tak, by ten si? zbytnio nie wyr�?nia? i nie wzbudza? uwagi jednocze?nie skutecznie wykorzystuj?c go do swoich cel�w. St?d tak istotne jest ustalenie warto?ci bazowych i szybkie wykrycie anomalii.

Po wykryciu – przywr�cenie serwera do tzw. z?otego obrazu, czyli powr�t do ustawie? bazowych u?atwia proces – zmiany mog? zosta? szybko cofni?te. Nale?y zwr�ci? szczeg�ln? uwag? na to, czy naruszono konta u?ytkownik�w i administrator�w, gdy? w sytuacji, gdy ma to miejsce, atakuj?cy mo?e wprowadzi? z?o?liwe oprogramowanie bezpo?rednio do z?otego obrazu. Zar�wno w infrastrukturze on-premise czy w chmurze wa?ne jest regularne, zautomatyzowane sprawdzanie stanu zasob�w. Nale?y szuka? nietypowych maszyn, szczeg�lnie tych, z du?? liczb? proces�w i wysok? utylizacj? CPU.

Ochrona przed atakami typu cryptojacking jest bardzo podobna do ochrony przed innym z?o?liwym oprogramowaniem – szukamy r�?nych symptom�w i d?ugotrwa?ych skutk�w u?ycia sprz?tu, spadku wydajno?ci u?ytkownika czy utraty skalowalno?ci. Wy?sze koszty zu?ycia energii lub wykorzystania us?ug z chmury s? po?rednimi wskaz�wkami, na kt�re nale?y zwr�ci? uwag?. Warto jednak by? czujnym na wszelkie odst?pstwa od regu?y, by w odpowiednim czasie m�c na nie w?a?ciwie zareagowa?.

Cyfrowa gor?czka z?ota

Cyfrowe paso?yty

Jak si? chroni??

You Might Also Like

Podczas pandemii 56 proc. firm zrealizowa?o projekty przygotowuj?ce i wdra?aj?ce prac? zdaln?

Wy?szy ZUS – kto odczuje to najmocniej?

RTV Euro AGD, Media Markt i Media Expert z karami od UOKiK

OPI PIB i Akademia Leona Ko?mi?skiego b?d? demaskowa? fake newsy