Comment détecter et vaincre les cryptomineurs dans votre réseau - CloudSavvy IT
Agence web » Actualités du digital » Comment détecter et vaincre les cryptomineurs dans votre réseau

Comment détecter et vaincre les cryptomineurs dans votre réseau

Le minage de crypto-monnaie n’est pas illégal. Mais utiliser un ordinateur ou un réseau pour le faire sans autorisation l’est. Voici comment savoir si quelqu’un détourne vos ressources pour son propre bénéfice.

Les crypto-monnaies et le besoin de miner

Les jetons virtuels que les crypto-monnaies utilisent comme pièces de monnaie sont frappés lorsqu’un grand nombre de problèmes mathématiques très complexes ont été résolus. L’effort de calcul requis pour résoudre ces problèmes est énorme.

C’est un effort de collaboration, avec de nombreux ordinateurs reliés entre eux pour former une plate-forme de traitement distribuée appelée pool. Résoudre les problèmes mathématiques ou contribuer à leur solution s’appelle l’exploitation minière. L’enregistrement des transactions effectuées avec la crypto-monnaie telles que les achats et les paiements nécessite également du minage. La récompense pour l’exploitation minière est une petite quantité de la crypto-monnaie.

Au fil du temps, il devient de plus en plus difficile de frapper de nouvelles pièces. Chaque crypto-monnaie frappera un nombre prédéterminé de pièces pendant la durée de vie de la devise. Au fur et à mesure que de plus en plus de pièces sont créées et qu’il reste moins de nouvelles pièces à créer, l’effort requis pour extraire et frapper de nouvelles pièces augmente. Il est loin le temps où il était possible de gagner de l’argent en cryptominant à petite échelle. La quantité d’électricité que vous utilisez efface votre petit profit de crypto-monnaie.

Un cryptominage rentable nécessite des plates-formes spécialisées et même des fermes entières de machines. Les coûts du matériel doivent être récupérés et les coûts de fonctionnement compensés de manière permanente, donc même dans ce cas, tout n’est pas de l’argent gratuit. À moins bien sûr que vous n’utilisiez les ressources informatiques de quelqu’un d’autre pour effectuer votre exploitation minière. Utiliser les ressources informatiques de quelqu’un d’autre sans autorisation est un crime, mais cela ne dissuade pas les cybercriminels.

À l’aide d’attaques de phishing ou de sites Web infectés, ils peuvent facilement installer des logiciels malveillants de cryptominage à votre insu et piller votre alimentation électrique et vos cycles de processeur. Une autre façon de crypter avec votre sou est d’infecter les sites Web afin que les navigateurs des visiteurs rejoignent un pool de cryptominage et exécutent des scripts de cryptominage JavaScript. Quelle que soit la méthode utilisée par les acteurs de la menace, cela s’appelle le cryptojacking et cela leur permet de réaliser un profit alors que vous faites face à des factures de services publics plus élevées et à des performances réduites.

Parce qu’ils essaient de compromettre autant d’ordinateurs que possible dans autant d’organisations que possible, leur parc d’ordinateurs devient grand et puissant. Ce pouvoir signifie qu’ils peuvent contribuer matériellement aux processus miniers et être récompensés.

EN RELATION: Les mineurs de crypto-monnaie expliqués : Pourquoi vous ne voulez vraiment pas de ce courrier indésirable sur votre PC

Exploitation minière à grande échelle

Le cryptomining a même été utilisé par des groupes de menaces persistantes avancées et d’autres acteurs de la menace parrainés par l’État. Microsoft a décrit dans un blog sur la sécurité comment un groupe de cyberespionnage parrainé par l’État a ajouté le cryptojacking à ses formes habituelles d’activité cybercriminelle.

Ils ont mené des attaques à grande échelle en France et au Vietnam, déployant des cryptomineurs pour exploiter la crypto-monnaie populaire Monero. L’extraction de crypto-monnaie à grande échelle comme celle-ci garantit qu’elle sera rentable.

Comment repérer le cryptominage

Si vous ou vos utilisateurs remarquez une baisse des performances des ordinateurs ou des serveurs, et que ces machines ont une charge CPU et une activité des ventilateurs constamment élevées, cela peut indiquer qu’un cryptojacking est en cours.

Parfois, un système d’exploitation ou des correctifs d’application mal écrits et mal testés peuvent avoir des effets indésirables partageant les mêmes symptômes. Mais si vous voyez un nombre soudain et généralisé d’ordinateurs affectés et qu’aucun correctif n’a été déployé, il s’agit probablement d’un cryptojacking.

Certains des logiciels de cryptojacking les plus intelligents limitent la charge de leur processeur lorsqu’ils détectent un certain seuil d’activité utilisateur légitime. Cela le rend plus difficile à repérer, mais cela introduit également un nouvel indicateur. Si le processeur et les ventilateurs augmentent lorsqu’il ne se passe rien ou très peu sur l’ordinateur, exactement le contraire de ce à quoi vous vous attendriez, il s’agit probablement d’un cryptojacking.

Un logiciel de cryptojacking peut également tenter de s’intégrer en prétendant être un processus appartenant à une application légitime. Ils peuvent utiliser des techniques telles que le chargement latéral de DLL où une DLL malveillante remplace une DLL légitime. La DLL est appelée par un bonne foi l’application lors de son lancement, ou un doppelganger application qui a été téléchargée dans les coulisses.

Une fois appelée, la DLL frauduleuse lance un processus de cryptomining. Si la charge CPU élevée est remarquée et étudiée, il apparaît qu’une application légitime se comporte mal et fonctionne de manière défavorable.

Avec de telles mesures prises par les auteurs de logiciels malveillants, comment pouvez-vous reconnaître le cryptojacking pour ce qu’il est, et ne pas le confondre avec une application errante mais « normale » ?

Une façon consiste à examiner les journaux des périphériques réseau tels que les pare-feu, les serveurs DNS et les serveurs proxy et à rechercher les connexions aux pools de cryptomining connus. Obtenez des listes de connexions utilisées par les cryptomineurs et bloquez-les. Par exemple, ces modèles bloqueront la majorité des pools de cryptomining Monero :

  • *xmr.*
  • *pool.com
  • *pool.org
  • bassin.*

L’inverse de cette tactique est de limiter vos connexions externes à de bons points de terminaison connus, mais avec une infrastructure centrée sur le cloud qui est nettement plus difficile. Ce n’est pas impossible, mais cela nécessitera un examen et une maintenance constants pour s’assurer que les actifs légitimes ne sont pas bloqués.

Les fournisseurs de cloud peuvent apporter des changements qui ont un impact sur la façon dont ils sont vus du monde extérieur. Microsoft maintient utilement une liste de toutes les plages d’adresses IP Azure, qu’il met à jour chaque semaine. Tous les fournisseurs de cloud ne sont pas aussi organisés ou prévenants.

Bloquer le cryptominage

Les navigateurs les plus populaires prennent en charge les extensions qui peuvent bloquer le cryptomining dans le navigateur Web. Certains bloqueurs de publicités ont la capacité de détecter et d’arrêter l’exécution des processus de cryptominage JavaScript.

Microsoft expérimente une nouvelle fonctionnalité dans son navigateur Edge, le nom de code Super Duper Secure Mode. Cela réduit considérablement la surface d’attaque du navigateur en désactivant complètement la compilation Just in Time dans le moteur JavaScript V8.

Cela ralentit les performances, du moins sur le papier, mais enlève une couche considérable de complexité au navigateur. La complexité est l’endroit où les bogues se glissent. Et les bogues conduisent à des vulnérabilités qui, lorsqu’elles sont exploitées, conduisent à des systèmes compromis. De nombreux testeurs ne signalent aucun ralentissement notable dans leur utilisation des versions de test d’Edge. Votre kilométrage peut varier, bien sûr. Si vous utilisez habituellement des applications Web très intensives, vous constaterez probablement une certaine lenteur. Mais la plupart des gens préféreraient à chaque fois la sécurité aux petits gains de performances.

Comme d’habitude…

Mieux vaut prévenir que guérir. Une bonne cyberhygiène commence par l’éducation. Assurez-vous que votre personnel peut reconnaître les techniques typiques d’attaque par hameçonnage et les signes révélateurs. Assurez-vous qu’ils se sentent à l’aise de soulever des préoccupations et encouragez-les à signaler les communications, les pièces jointes ou les comportements du système suspects.

Utilisez toujours l’authentification à deux facteurs ou à plusieurs facteurs lorsqu’elle est disponible.

Attribuez des privilèges de réseau en utilisant le principe du moindre privilège. Attribuez des privilèges afin que les individus aient l’accès et la liberté d’exercer leur rôle et pas plus.

Implémentez le filtrage des e-mails pour bloquer les e-mails de phishing et les e-mails présentant des caractéristiques suspectes, telles que l’usurpation d’adresses. Différents systèmes ont bien sûr des capacités différentes. Si votre plate-forme de messagerie peut vérifier les liens dans le corps des e-mails avant que l’utilisateur ne puisse cliquer dessus, c’est encore mieux.

Vérifiez les journaux de votre pare-feu, proxy et DNS et recherchez les connexions inexplicables. Des outils automatisés peuvent vous aider. Bloquez l’accès aux pools de cryptomining connus.

Empêcher l’exécution automatique des macros et des processus d’installation.

★★★★★