Раздел навигации

Майнинг за счет корпорации

  • Автор темы blacktrader
  • Дата начала
blacktrader

blacktrader

Модератор
Регистрация
14 Ноя 2018
Сообщения
7,531
Один из последних трендов информационной безопасности — распространение криптомайнеров для добычи криптовалюты на компьютерах частных пользователей и в сетях компаний. По статистике «Лаборатории Касперского», криптомайнеры сегодня — наиболее популярный тип угроз. За год фиксируется порядка 2,7 млн атак с использованием криптомайнеров (это порядка 4% в общем числе инцидентов).
В качестве примера можно рассмотреть скрытый майнинг при помощи PowerGhost — инструмента, ориентированного именно на бизнес. Первые сообщения о нем появились в середине лета 2018.

Любопытно, что PowerGhost может распространяться сразу несколькими способами, один из которых — через ту же уязвимость, что и нашумевший год назад шифровальщик WannaCry. Это уязвимость в протоколе SMBv1, присутствующем во всех Windows-системах, начиная с Windows XP, и для заражения через нее сотрудникам организаций не надо заходить на подозрительные сайты, переходить по ссылкам в фишинговых письмах или иным образом способствовать распространению вредоносного инструмента.
Проникая на очередную рабочую станцию через известные уязвимости или инструмент удаленного администрирования (Windows Management Instrumentation), PowerGhost «окапывается» на ней, выкачивая основные модули из сети, и начинает незаметный майнинг. Параллельно PowerGhost предпринимает попытки распространения на другие компьютеры локальной сети с помощью данных учетных записей в зараженной системе.
PowerGhost не ворует пользовательские данные и не вымогает деньги за их возвращение, однако он отбирает ценные вычислительные ресурсы. Для зараженной компании это выливается в повышенные счета за электричество (по подсчетам «Лаборатории Касперского», расход электроэнергии среднестатистического рабочего места рядового сотрудника повышается в пять раз) и износ оборудования. Причем запускается такой «скрытый майнинг» как на рабочих станциях, так и на серверах. К сожалению, в денежном выражении подсчитать ущерб от заражения PowerGhost довольно сложно.

PowerGhost очень ловко обходит корпоративную защиту: в некоторых своих реализациях проверяет, не запускают ли его в «песочнице», и не пишет файлы на жесткий диск, чтобы прятаться от антивирусов, да и самого пользователя.

Естественно, PowerGhost — не единственный подобный инструмент. В последнее время аналитики отмечают целый всплеск так называемых «бестелесных» (бесфайловых — fileless) зловредов. Кстати, PowerGhost позволил отметить еще одну тенденцию: вслед за шифровальщиками скрытые майнеры движутся в сторону бизнеса, поскольку здесь потенциальная выгода больше. Если этот тип угроз продолжит свое развитие «по стопам предшественника», уже в ближайшее время нужно будет бояться целенаправленных атак майнеров на определенные организации, имеющие большие вычислительные мощности.
Кстати, криптомайнеры также не брезгуют распространением через съемные носители. По данным «Лаборатории Касперского», майнеры на флешках обнаруживались с 2015 года. А самый популярный из них — Trojan.Win64.Miner.all. В 2018 году на его долю приходится чуть больше 9% заражений через USB, и с каждым годом она растет.

Эксперт «Лаборатории Касперского»
В первую очередь программа-майнер должна обмениваться информацией со специализированными хостами — пулами майнеров, принимать и отправлять данные о проделанной работе. Как правило, эти соединения хорошо видны на корпоративных шлюзах и прокси-серверах — через равные промежутки времени порции пакетов направляются к одним и тем же серверам со «странными» названиями. Вторым признаком могут стать жалобы пользователей на «тормоза» операционной системы — майнинг требует значительных вычислительных мощностей. Современные антивирусы способны обнаруживать и блокировать работу майнеров различными методами и компонентами, например, с помощью белых списков сетевых экранов и инструментов, контролирующих запуск программ. Дополнительно администраторы корпоративных сетей могут проводить инвентаризацию программного обеспечения и таким образом находить нежелательные программы-майнеры и скрипты как непосредственно на конечных узлах, так и с помощью систем, анализирующих трафик корпоративной сети.
 
Сверху