Криптоджекинг нацелен на компьютеры и серверы — как локальные, так и находящиеся в облачных средах. Цель угрозы всегда одна: создать обширную бот-сеть из множества устройств и использовать ресурсы процессоров зараженных компьютеров для добычи криптовалюты. Как действуют злоумышленники, и о чем необходимо помнить, чтобы вовремя предотвратить угрозу?
Введение
Примитивные инфекционные организмы убивают своих хозяев, чтобы получить сиюминутную выгоду: питание и возможность размножения. Но более продвинутые особи живут в организме хозяина или на нем, выкачивая питательные вещества. Подобным образом в цифровом мире паразиты не удаляют, не шифруют данные и не вымогают за них деньги, они используют вычислительные ресурсы компьютерных систем в своих целях — по возможности, незаметно для владельцев этих систем.
Вычислительные ресурсы — это ценный актив в мире криптовалюты. Злоумышленники, движимые жаждой наживы, используют технологии добычи криптовалюты для спекуляции на рынке цифровой валюты. Это явление получило название криптоджекинг. Оно становится все более популярным, т.к. дает возможность зарабатывать денежные средства и при этом оставаться в тени.
Вот для примера несколько случаев криптомайнинга, которые стали известны общественности. Европейская компания, занимающаяся водоснабжением, стала жертвой криптомайнинга — злоумышленники атаковали ее критически важные системы ICS и SCADA, а криптомайнер Coinhive, который «работает» под девизом «Делайте деньги с помощью компьютеров ваших пользователей», был пойман, когда он атаковал подключения пользователей в одном из кафе Аргентины. В довершение ко всему отдельные веб-сайты используют технологии создания криптовалюты вместо того, чтобы зарабатывать деньги с помощью баннеров и всплывающей рекламы.
Цифровая золотая лихорадка
Для лучшего понимания сути вопроса давайте разберемся, что значит криптомайнинг. Профессиональные майнеры делают значительные стартовые инвестиции для приобретения специального аппаратного обеспечения и инфраструктуру (хостинг, охлаждение и пр.). Затем на протяжении всего процесса майнинга они тратят средства на электроэнергию, техническое обслуживание и рабочий персонал. Для получения прибыли требуются большие инвестиции. Вместо этого злоумышленники создают бот-сети на основе зараженных устройств, которые используют ресурсы чужих процессоров для своих вычислений. В результате владельцы этих систем получают более низкую скорость работы и большие счета за электроэнергию.
Когда это явление только появилось, для добычи биткоинов использовались ресурсы процессоров обычных настольных компьютеров. По мере появления любителей легкой наживы уровень сложности компьютерных вычислений поднялся настолько, что для добычи криптовалюты стало необходимым использовать графические карты. Затем появились специализированные чипсеты, разработанные специально для создания биткоинов. Они имеют более компактные размеры и более высокую эффективность работы. Для увеличения шанса оплаты майнеры начали объединяться в специальные группы.
В настоящий момент набирают популярность альткоины (альтернатива биткоинов), которые основаны на других протоколах и имеют более низкий уровень сложности обработки вычислений. К самым популярным альтернативным криптовалютам относятся Эфириум и Монеро. Криптовалюта Монеро является самой популярной у бот-сетей: две тысячи взломанных сетей могут добыть несколько сотен тысяч долларов США в год.
Цифровые паразиты
Атака на компьютеры выполняется через веб-браузер — основными признаками взлома компьютера являются медленная работа, высокий уровень потребления ресурсов процессора и высокая скорость работы системы охлаждения. В качестве примера можно привести данные, опубликованные независимым исследователем в области безопасности Уильямом ДеГрутом. Он заявил, что «все 2496 сайтов, работу которых он отслеживал, используют устаревшее программное обеспечение, которое имеет уязвимости в системе безопасности, что и было использовано злоумышленниками для взлома. Они добавляли код, который незаметно заставлял работать процессоры посетителей сайтов для добычи криптовалюты Монеро». Другим примером является «проездной» криптоджекинг, когда скрытое всплывающее окно продолжает работать даже после закрытия сайта.
Мобильные устройства и гаджеты также могут стать жертвами злоумышленников, и даже в большей степени, т. к. майнинговые скрипты могут работать в фоновом режиме, и их гораздо труднее отследить. Одним из примеров скриптов для платформы Android является ADB.Miner. Он, как правило, работает на взломанных устройствах с правами суперпользователя, применяя такой же сканирующий код для поиска открытых и доступных устройств, что и бот-сеть Mirai. В случае обнаружения таких устройств вредонос заражает их и начинает добывать криптовалюту Монеро, распространяясь дальше на другие устройства.
Атаки на серверы выполняются так же, как и в случае с ранее описанными бот-сетями, но с определенными особенностями. Вместо рассылки спама, внедрения вирусов-вымогателей или применения DDoS-атак используются такие приложения, как Minergate и Smominru. Приложения работают незаметно и бесперебойно, регулярно получая новые блоки данных и проверяя работу. Данные для обработки могут поступать через спам-письма, которые содержат вложения, включая зараженные документы в формате Word. В основном атакам подвергаются серверы с поддержкой протокола RDP и выходом в интернет, которые имеют слабые пароли и не поддерживают многофакторную аутентификацию. Инструменты, включая Shodan, показывают, насколько широко распространены серверы с выходом в интернет. Инструменты, которые сканируют все порты, быстро получают доступ к серверам из-за уязвимостей RDP-портов. Атаки «перебором по словарю» позволяют взломать простые пароли. После получения доступа к серверу злоумышленники используют методы проникновения с «черного хода». Как и в случае с другими видами атак, серверный криптоджекинг может быть более сложным по мере распространения. Если злоумышленник получает доступ к инфраструктуре, он может взломать и другие серверы.
Еще одним примером атаки на основе криптоджекинга был WannaMine. CrowdStrike так описывает его: «WannaMine использует методики на основе локальных инструментов, включая подписки на события Windows Management Instrumentation (WMI) в качестве механизма устойчивости. Он также распространяется через уязвимость EternalBlue. Отсутствие файлов и использование проверенного системного программного обеспечения, включая WMI и PowerShell, затрудняют поиск вируса». Как описывалось в блоге Мартина Зугеча, уязвимость EternalBlue, которая используется для распространения ПО WannaCry, можно заблокировать с помощью ПО Bitdefender HVI и Citrix Hypervisor (XenServer).
Анализ и обнаружение
Очень важным условием эффективной борьбы со злоумышленниками является раннее обнаружение. Первое, на что стоит обратить внимание — увеличение объема потребления ресурсов процессора. ИТ-специалистам необходимо установить их предельные значения, чтобы администраторы получали соответствующее уведомление в случае его превышения. Предупреждения должны отправляться вне зависимости от названия процессов — цифровой паразит стремится остаться незамеченным и может притворяться системным сервисом или процессом. Кроме того, самые хитрые злоумышленники могут настроить работу процессора таким образом, что ничего не будет заметно, поэтому ИТ-специалистам необходимо установить базовые значения параметров работы процессоров и оперативно определять отклонения от этих значений.
Особое внимание необходимо уделить тому, удалось ли криптомайнерам скомпрометировать учетные записи суперпользователей. Как для локальных, так и для облачных сред важное значение имеет регулярная, автоматизированная проверка активов с возможностью уведомления. Проверка должна осуществлять поиск незарегистрированных машин, особенно с большим количеством процессоров.
Выводы
Защита от криптоджекинга во многом схожа с защитой от любого другого вредоноса. Тем не менее, необходимо осуществлять поиск других признаков на уровне аппаратного обеспечения, снижения скорости работы пользователей и уменьшения масштабируемости ресурсов. Возросшие расходы на электричество и повышенное использование ресурсов облачных сред также являются признаками взлома.