So erkennen und besiegen Sie Cryptominer in Ihrem Netzwerk - CloudSavvy IT
Webagentur » Digitale Nachrichten » So erkennen und besiegen Sie Cryptominer in Ihrem Netzwerk

So erkennen und besiegen Sie Cryptominer in Ihrem Netzwerk

vonTremplin Numérique veröffentlicht

Das Mining von Kryptowährungen ist nicht illegal. Aber die Verwendung eines Computers oder eines Netzwerks, um dies ohne Erlaubnis zu tun, ist. So erkennen Sie, ob jemand Ihre Ressourcen zu seinem eigenen Vorteil umleitet.

Kryptowährungen und die Notwendigkeit, zu minen

Die virtuellen Token, die Kryptowährungen als Coins verwenden, werden geprägt, wenn eine Vielzahl sehr komplexer mathematischer Probleme gelöst wurden. Der Rechenaufwand zur Lösung dieser Probleme ist enorm.

Es ist eine gemeinsame Anstrengung, bei der viele Computer miteinander verbunden sind, um eine verteilte Verarbeitungsplattform zu bilden, die als Pool bezeichnet wird. Das Lösen mathematischer Probleme oder der Beitrag zu ihrer Lösung wird als Mining bezeichnet. Das Aufzeichnen von Transaktionen mit Kryptowährung wie Einkäufen und Zahlungen erfordert ebenfalls Mining. Die Belohnung für das Mining ist ein kleiner Betrag der Kryptowährung.

Mit der Zeit wird es immer schwieriger, neue Coins zu schlagen. Jede Kryptowährung wird während der Laufzeit der Währung eine vorbestimmte Anzahl von Münzen schlagen. Da immer mehr Coins geschaffen werden und weniger neue Coins erstellt werden müssen, steigt der Aufwand, um neue Coins zu minen und zu schlagen. Vorbei sind die Zeiten, in denen es möglich war, mit Kryptomining in kleinem Umfang Geld zu verdienen. Die Menge an Strom, die Sie verbrauchen, macht Ihren kleinen Kryptowährungsgewinn zunichte.

Profitables Kryptomining erfordert spezialisierte Plattformen und sogar ganze Maschinenfarmen. Hardwarekosten müssen gedeckt und laufende Kosten dauerhaft ausgeglichen werden, also ist auch dann nicht alles umsonst. Es sei denn, Sie verwenden die Computerressourcen einer anderen Person, um Ihr Mining durchzuführen. Die unbefugte Nutzung der Computerressourcen einer anderen Person ist ein Verbrechen, schreckt Cyberkriminelle jedoch nicht ab.

Mithilfe von Phishing-Angriffen oder infizierten Websites können sie ohne Ihr Wissen Cryptomining-Malware installieren und Ihre Stromversorgung und CPU-Zyklen plündern. Eine andere Möglichkeit, mit Ihrem Penny zu verschlüsseln, besteht darin, Websites zu infizieren, sodass die Browser der Besucher einem Cryptomining-Pool beitreten und JavaScript-Cryptomining-Skripte ausführen. Welche Methode auch immer Bedrohungsakteure verwenden, sie wird als Cryptojacking bezeichnet und ermöglicht es ihnen, Gewinne zu erzielen, wenn Sie mit höheren Stromrechnungen und geringerer Leistung konfrontiert sind.

Da sie versuchen, so viele Computer wie möglich in so vielen Organisationen wie möglich zu kompromittieren, wird ihr Computerpool groß und leistungsfähig. Diese Macht bedeutet, dass sie materiell zu Bergbauprozessen beitragen können und dafür belohnt werden.

IN BEZIEHUNG: Kryptowährungs-Miner erklärt: Warum Sie diese Junk-E-Mail wirklich nicht auf Ihrem PC haben wollen

Bergbau im großen Maßstab

Cryptomining wurde sogar von fortgeschrittenen persistenten Bedrohungsgruppen und anderen staatlich geförderten Bedrohungsakteuren eingesetzt. Microsoft hat in einem Sicherheitsblog beschrieben, wie eine staatlich geförderte Cyberspionagegruppe Cryptojacking zu ihren üblichen Formen der Cyberkriminalität hinzugefügt hat.

Sie haben groß angelegte Angriffe in Frankreich und Vietnam durchgeführt und Kryptominer eingesetzt, um die beliebte Kryptowährung Monero zu schürfen. Ein solches Kryptowährungs-Mining im großen Stil garantiert, dass es profitabel ist.

So erkennen Sie Kryptomining

Wenn Sie oder Ihre Benutzer einen Leistungsabfall von Computern oder Servern feststellen und diese Computer eine konstant hohe CPU-Auslastung und Lüfteraktivität aufweisen, kann dies darauf hinweisen, dass Cryptojacking im Gange ist.

Manchmal können schlecht geschriebene und schlecht getestete Betriebssystem- oder Anwendungspatches Nebenwirkungen haben, die dieselben Symptome aufweisen. Wenn Sie jedoch eine plötzliche und weit verbreitete Anzahl betroffener Computer sehen und keine Fehlerbehebungen vorgenommen wurden, handelt es sich höchstwahrscheinlich um Cryptojacking.

Einige der intelligentesten Cryptojacking-Softwares begrenzen ihre CPU-Last, wenn sie einen bestimmten Schwellenwert legitimer Benutzeraktivitäten erkennen. Dies macht es schwieriger zu erkennen, führt aber auch einen neuen Indikator ein. Wenn Prozessor und Lüfter ansteigen, wenn auf dem Computer nichts oder nur sehr wenig passiert, genau das Gegenteil von dem, was Sie erwarten würden, handelt es sich wahrscheinlich um Cryptojacking.

Cryptojacking-Software kann auch versuchen, sich zu integrieren, indem sie vorgibt, ein Prozess zu sein, der zu einer legitimen Anwendung gehört. Sie können Techniken wie das DLL-Sideloading verwenden, bei dem eine bösartige DLL eine legitime DLL ersetzt. Die DLL wird von a . aufgerufen Aufrichtigkeit die Anwendung, wenn sie gestartet wird, oder a Doppelgänger App, die hinter den Kulissen hochgeladen wurde.

Nach dem Aufruf initiiert die betrügerische DLL einen Kryptomining-Prozess. Wenn die hohe CPU-Auslastung bemerkt und untersucht wird, scheint es, dass eine legitime Anwendung sich schlecht verhält und eine ungünstige Leistung erbringt.

Wie können Sie bei solchen Aktionen von Malware-Autoren Cryptojacking als das erkennen, was es ist, und es nicht mit einer verirrten, aber „normalen“ Anwendung verwechseln?

Eine Möglichkeit besteht darin, Protokolle für Netzwerkgeräte wie Firewalls, DNS-Server und Proxyserver zu untersuchen und Verbindungen zu bekannten Cryptomining-Pools zu finden. Rufen Sie Listen mit Verbindungen ab, die von Cryptominern verwendet werden, und blockieren Sie sie. Diese Muster blockieren beispielsweise die Mehrheit der Monero-Kryptomining-Pools:

  • *xmr.*
  • *pool.com
  • *pool.org
  • Schüssel.*

Die Umkehrung dieser Taktik besteht darin, Ihre externen Verbindungen auf bekannte gute Endpunkte zu beschränken, aber mit einer Cloud-zentrierten Infrastruktur, die deutlich schwieriger ist. Es ist nicht unmöglich, aber es erfordert eine ständige Überprüfung und Wartung, um sicherzustellen, dass legitime Vermögenswerte nicht gestrandet sind.

Cloud-Anbieter können Änderungen vornehmen, die sich darauf auswirken, wie sie von der Außenwelt wahrgenommen werden. Microsoft verwaltet sinnvollerweise eine Liste aller Azure-IP-Adressbereiche, die wöchentlich aktualisiert wird. Nicht alle Cloud-Anbieter sind so organisiert oder rücksichtsvoll.

Kryptomining blockieren

Die meisten gängigen Browser unterstützen Erweiterungen, die Cryptomining im Webbrowser blockieren können. Einige Werbeblocker können die Ausführung von JavaScript-Kryptomining-Prozessen erkennen und stoppen.

Microsoft experimentiert mit einer neuen Funktion in seinem Edge-Browser mit dem Codenamen Super Duper Secure Mode. Dadurch wird die Angriffsfläche des Browsers drastisch reduziert, indem die Just-in-Time-Kompilierung in der V8-JavaScript-Engine vollständig deaktiviert wird.

Dies verlangsamt die Leistung, zumindest auf dem Papier, nimmt dem Browser jedoch eine beträchtliche Komplexitätsschicht. Komplexität ist der Ort, an dem sich Fehler einschleichen. Und Bugs führen zu Schwachstellen, die, wenn sie ausgenutzt werden, zu kompromittierten Systemen führen. Viele Tester berichten von keiner merklichen Verlangsamung bei der Nutzung der Edge-Test-Builds. Dein kiloDie Laufleistung kann natürlich variieren. Wenn Sie normalerweise sehr intensive Webanwendungen verwenden, werden Sie wahrscheinlich etwas langsamer werden. Aber die meisten Leute würden die Sicherheit jedes Mal kleinen Leistungssteigerungen vorziehen.

Wie gewöhnlich…

Vorbeugung ist besser als Heilung. Gute Cyber-Hygiene beginnt mit Bildung. Stellen Sie sicher, dass Ihre Mitarbeiter typische Phishing-Angriffstechniken und verräterische Anzeichen erkennen können. Stellen Sie sicher, dass sie sich wohl fühlen, Bedenken zu äußern, und ermutigen Sie sie, verdächtige Mitteilungen, Anhänge oder Systemverhalten zu melden.

Verwenden Sie immer die Zwei-Faktor- oder Mehr-Faktor-Authentifizierung, wenn verfügbar.

Weisen Sie Netzwerkberechtigungen nach dem Prinzip der geringsten Berechtigung zu. Weisen Sie Berechtigungen zu, damit Einzelpersonen Zugriff und Freiheit haben, um ihre Rolle auszuüben und nicht mehr.

Implementieren Sie E-Mail-Filter, um Phishing-E-Mails und E-Mails mit verdächtigen Merkmalen, wie z. B. Adress-Spoofing, zu blockieren. Unterschiedliche Systeme haben natürlich unterschiedliche Fähigkeiten. Noch besser, wenn Ihre E-Mail-Plattform Links im E-Mail-Text überprüfen kann, bevor der Benutzer darauf klicken kann.

Überprüfen Sie Ihre Firewall-, Proxy- und DNS-Protokolle und suchen Sie nach unerklärlichen Verbindungen. Automatisierte Tools können helfen. Blockieren Sie den Zugriff auf bekannte Cryptomining-Pools.

Verhindern Sie, dass Makros und Installationsprozesse automatisch ausgeführt werden.

★ ★ ★ ★ ★

Tremplin Numérique

Schreiben Tremplin Numérique, französische Webagentur. Unsere Autoren versorgen Sie täglich und kostenlos mit den neuesten technischen und digitalen Nachrichten in Frankreich und auf der ganzen Welt.