Egyre népszerűbb a hackerek körében a cryptojacking, vagyis a vállalati infrastruktúrák megfertőzése kriptobányász programokkal a folyamatos, megbízható bevételi forrás kialakítása érdekében. A szervezetek az adatlopások és a zsarolóprogram-fertőzések elhárítására összpontosítanak, ráadásul a cryptojacking támadásokat nehezebb észlelni, és az általuk okozott kár nem mindig egyértelmű. Jelenlétük csak akkor válik azonnal nyilvánvalóvá, ha azokkal a felhős infrastruktúrát fertőzik meg, vagy a villanyszámlából olvasható ki a megnövekedett fogyasztás. Persze a megfertőzött számítógépek teljesítményét is csökkentik, az intenzív használattal pedig tönkretehetik annak alkotóelemeit is.
Az alábbiakban Maria Korolovnak a CIO.com magazinban megjelent cikke nyomán áttekintjük, milyen fenyegetést jelent a vállalatoknak a kriptobányászat, és hogyan védekezhetnek ellene.
Hálózati védelem
Sok biztonsági cég hálózati szinten próbálja kiszűrni a kriptobányász tevékenységet, mivel megítélésük szerint a végponti észlelés jelenleg komoly nehézségekbe ütközik. Alex Vaystikh, a SecBI műszaki vezetője szerint minden kriptobányász programnak van egy közös jellemzője: a kriptovaluták kitermeléséhez mindenképpen kommunikálniuk kell. Képesnek kell lenniük fogadni az új hasheket, majd a számítások elvégzése után vissza kell juttatniuk azokat a szerverekhez, és el kell helyezniük őket a megfelelő pénztárcába. Emiatt a kriptobányászat észlelésének a legjobb módja a hálózat monitorozása.
Csakhogy a kriptobányászathoz köthető forgalmat nagyon nehéz megkülönböztetni a más típusú kommunikációktól. Az üzenetek rendkívül rövidek, és a vírusírók többféle módszert használnak az álcázásukra. A SecBI által kifejlesztett Autonomous Investigation technológia gépi tanulás segítségével keresi meg a gyanús mintákat a hálózati adatok tengerében. Több ezernyi tényezőt vesz figyelembe. Például a kriptobányász forgalom periodikus, noha a vírusírók megpróbálják álcázni a kommunikációt az üzenetek közötti időintervallumok randomizálásával. Jellemző továbbá a kriptobányászatra a szokatlan üzenethossz: a bejövő forgalom, a hash rövid, a kimenő eredmények valamivel hosszabbak. A normál internetes forgalomnál a kezdeti kérés rövid, a válasz azonban hosszú. Az Autonomous Investigation technológia mind a nyilvános felhő-infrastruktúrákban, mind a házon belüli hálózatokban alkalmazható.
Még ha a forgalom titkosított is - márpedig az összes hálózati forgalom 60 százaléka jelenleg az - a kommunikáció periodicitása, az üzenetek hossza és más jellemzők alapján a rendszer képes azonosítani a fertőzéseket, tudjuk meg Vaystikhtől.
Más módszert alkalmaz a kriptobányászati aktivitás észlelésére a Darktrace cég Enterprise Immune System technológiája. - Hálózati szinten vizsgáljuk a rendellenes viselkedéseket, és bármely számítógépen észlelni tudjuk a normális működéstől eltérő csekély eltéréseket is - tájékoztat a rendszer működéséről Justin Fier, a vállalat elemzésekért és számítógépes intelligenciáért felelő igazgatója. - Ha egy számítógép eddig XYZ tevékenységet végzett, majd hirtelen olyasmit kezd el csinálni, amit még soha, könnyű felfedezni a változást, teszi hozzá a szakember.
De nemcsak a számítógépek sebezhetőek: rengeteg IP-címmel rendelkező eszköz vesz minket körül, amelyek összekötésével hatalmas szuperszámítógép alakítható ki kriptovaluták bányászására. Fier szerint egyetlen termosztát nem sok vizet zavar, ha azonban ezekből az eszközökből több százezernyit nagy "bányásztársasággá" vonnak össze, már komoly pénzeket lehet velük generálni.
Megint más alapokon áll a böngészős kriptobányászat, például a Coinhive, amely JavaScriptben fut, és megfertőzött webhelyek meglátogatásakor aktivizálódik. A böngésző alapú bányászat elleni védekezés egyik legjobb módja a JavaScript kikapcsolása, bár így legális szolgáltatásokat sem tudunk majd használni. Egyes böngésző alapú támadások ellen a megbízható fejlesztőtől származó antivírusprogramok is védenek. Célzottabb megközelítést jelentenek a böngészőbővítmények, például a minerBlock és a NoCoin, az utóbbi kiválóan blokkolja a Coinhive-ot és annak klónjait. Biztonsági szakértők azonban arra figyelmeztetnek, hogy egyes legális böngésző-kiegészítők éppenséggel kriptobányász programmal fertőzöttek.
Intelligens végpontvédelem
Megint más megközelítést képvisel a végpontok védelme. Tim Erlin, a TipWire termékmenedzsmentért és stratégiáért felelő alelnöke szerint a támadók titkosítással és kevésbé látható kommunikációs csatornák segítségével képesek kijátszani a hálózatos védelmi megoldásokat. Ezért úgy véli, a leghatékonyabb védelmet a kriptobányászat ellen a végpontok közvetlen megvédése jelenti. Alapvető fontosságúnak tartja a rendszerek nem engedélyezett változásokat figyelő monitorozását.
A végpontvédelemre kifejlesztett technológiáknak nem csupán a rendellenes tevékenységek blokkolását kell megvalósítaniuk, hanem elég intelligenseknek kell lenniük ahhoz is, hogy lefüleljék a nem ismert fenyegetéseket - hangsúlyozza Bryan York, a végpontvédelmi megoldásokat szállító CrowdStrike szolgáltatási igazgatója. Ez nem korlátozódhat a végrehajtható rosszindulatú programokra, mivel a támadók immár szkriptnyelveket és legális szoftvereket használnak tevékenységükhöz, teszi hozzá a szakember. A CrowdStrike megoldása működik mind a hagyományos asztali számítógépeken, mind a felhőalapú virtuális gépeken. Az utóbbira azért van szükség, mert több esetben tapasztalták már, hogy hackerek felhős környezetekbe, például az AWS EC2-be telepítettek kriptobányász programokat. A virtuális gépek védelme érdekében ugyanazt a megközelítést alkalmazzák. Ehhez szükségük van az API naplóadatokra, amelyeket az AWS-től kapnak meg. Emiatt valamivel komolyabb kihívást jelent számukra a vizsgálatok elvégzése, ugyanakkor ez érdekesebbé is teszi a munkát.
Belső fenyegetések
Ha a kriptobányász programot szándékosan telepítette egy legális felhasználó, még nagyobb nehézséget okoz az észlelése, hívja fel a figyelmet egy további veszélyre York. A szakember nemrégiben folytatott vizsgálatot egy rosszindulatú alkalmazott ügyében, aki úgy gondolta, a vállalattal szembeni elégedetlenségének oly módon ad hangot, hogy kriptobányász programokkal fertőzi meg a hálózatot. A nyomozást nagymértékben hátráltatta, hogy az illető tudatában volt annak, hogy cége milyen módszert használ a kriptobányász programok észlelésére, terjedésének megakadályozására. Mint a böngésző előzményeinek átnézése után kiderült, kutatómunkát végzett az interneten, és elolvasott néhány cikket a York cége által használt védelmi technológiáról.
Jóllehet, a vállalati előírások nem mindig tiltják kifejezetten a kriptobányászatot a céges számítógépeken, egy ilyen akció valószínűleg komoly kockázatokkal jár az alkalmazottak számára.
- A villanyszámla felhívja a figyelmet a magánakcióra, és az illetőt elbocsátják, így nem sokáig folytathatja a bányászatot. Ha azonban képes manipulálni a naplófájlokat, egy-egy rafinált alkalmazott akár komolyabb jövedelemre is szert tehet - tudjuk meg Steve McGregorytól, az Ixia kutatási igazgatójától. - Különösen sebezhetőek az oktatási intézmények, rengetegen jönnek hozzánk segítségért - teszi hozzá a szakember. A hallgatók a kollégiumi szobájukban üzemeltetik ASIC kriptobányász számítógépeiket az egekig tornázva fel az intézmény áramszámláját. A cechet az egyetem állja, a hallgatók pedig még azzal sem vádolhatók meg, hogy meghackelték volna az informatikai rendszert.
- Alkalmazottak is használhatják cégük áramát, ami egy nagyvállalatnál akár fel sem tűnhet a számlán. Valószínűleg úgy bukkannak a kriptobányász számítógépek nyomára, hogy megkeresik az irodaépület legmelegebb részeit. Bányászattal foglalkozó alkalmazottak szintén létrehozhatnak virtuális gépeket az AWS-en, az Azure-ban vagy a Google felhőjében, elvégezhetik a számításokat, majd gyorsan bezárják őket, mielőtt fény derülne a turpisságra - mutat rá egy újabb veszélyre Robert McNutt, a ForeScout feltörekvő technológiákért felelő alelnöke. - Ez komoly kockázatot jelent a szervezetek számára, mivel a felhős tevékenységet sokkal nehezebb észlelni. És mivel nagyon jövedelmező lehet a vállalkozó kedvűek számára, egyre népszerűbbé is válik a módszer.
McNutt szerint lopott bejelentkezési adatokkal rendelkező külső támadók ugyancsak létrehozhatnak kriptobányászatot végző virtuális gépeket, amit jelentősen ösztönözhet, hogy az Amazon immár GPU-val felszerelt, a bányászat hatékonyságát tovább növelő virtuális gépeket is kínál.