МАЙНИНГ КРИПТОВАЛЮТЫ С ПОМОЩЬЮ CPU

Появляются новые версии вредоносной программы ELF Linux/Mirai, содержащей инструменты для добычи криптовалютных монет, а IBM X-Force отмечает резкое увеличение объема инструментов для майнинга центральных процессоров монет, используемых в кибератаках, особенно нацеленных на корпоративные сети.

Согласно данным IBM Managed Security Services (MSS), за восьмимесячный период с января по август 2020 года количество атак с использованием встроенных средств майнинга увеличилось более чем в шесть раз. Это неудивительно, поскольку в недавнем отчете третьей стороны отмечалось, что количество обнаружений троянов для майнинга криптовалют значительно возросло за последние несколько лет.

Как работает процессорный майнинг

Все атаки, проанализированные IBM X-Force в течение этого периода, включали один и тот же инструмент майнинга с возможностью добычи нескольких различных монет. Эти инструменты были скрыты в поддельных графических файлах, методе, известном как стеганография, размещенных на скомпрометированных веб-серверах под управлением Joomla или WordPress, или хранящихся на скомпрометированных серверах приложений JBoss.

В большинстве случаев злоумышленники пытались добывать криптовалюты на основе Криптонот, такие как Monero (XMR), который использует алгоритм майнинга CryptoNight.

Исследователи отметили, по крайней мере, два возможных сценария:

1. Злоумышленники сканировали системы управления контентом (CMS), которые уже были скомпрометированы, а затем провели атаку CMDi.
2. Злоумышленники осуществили как первоначальную компрометацию веб-ресурса, так и последующую CMDi-атаку.

Обзор целевых отраслей показал, что отрасли, связанные с производством и предоставлением финансовых услуг на 29%, испытывают больший объем этих типов атак. Злоумышленники, скорее всего, нацелены на отрасли с наиболее уязвимыми технологиями по сравнению с теми, кто лучше защищен.

В чем привлекательность майнинга на CPU?

Многие виртуальные майнеры монет были созданы для использования графического процессора (GPU) в зараженных конечных точках, более известного как видеокарта компьютера, а не процессоры. Это связано с тем, что графические процессоры имеют большое количество арифметико-логических блоков (ALU) по сравнению с центральными процессорами (CPU).

Алгоритм майнинга CryptoNight, используемый CryptoNote-based currency, предназначен для майнинга на процессорах и может быть эффективно задан миллиардам существующих устройств. Инструмент майнинга под названием Claymore Cryptonight GPU Miner был разработан для использования как графических процессоров, так и процессоров. CPU майнинг в настоящее время доступен для всех видов инструментов майнинга во всех операционных системах.

Заключение

Хотя этот анализ был сосредоточен на рассматривании только ОС Linux, нужно иметь в виду, что существует множество других вариантов инструментов майнинга и на ОС Windows, Android и Apple, домашние маршрутизаторы и другие подключенные устройства. Практически любой вектор атаки, который включает в себя инъекцию исполняемого кода, может превратить целевую систему в виртуальный майнер монет для злоумышленника. Наиболее распространенные методы атаки включают в себя: межсайтовый сценарий, атаки грубой силы, эксплойты переполнения буфера команд, инъекции произвольного кода на гипертекстовый препроцессор (PHP), инъекция команд (включая SQL-инъекцию).

Один из наиболее успешных методов проникновения — это неспособность проверить поля ввода в веб-приложениях. Удивительно, сколько раз обнаруживалось, что команды SQLi и CMDi фактически вводятся через простое поле поиска или поля URL.

Чтобы защититься от злоумышленников, необходимо соблюдать правила защиты специалистами по информационной безопасности:

• Измените данные учетных записей с тех, что заданы по умолчанию, чтобы предотвратить несанкционированный доступ.
• Рассмотрите возможность использования белых списков приложений для предотвращения запуска неизвестных исполняемых файлов.
• Выполните проверку входных данных в веб-приложениях, выходящих в интернет, чтобы избежать инъекционных атак.
• Проводите инструктажи среди своих сотрудников.
• Не забывайте вовремя применять обновления безопасности на ПО.

Список литературы:

1. Network Attacks Containing Cryptocurrency CPU Mining Tools Grow Sixfold [Электронный ресурс]. – Режим доступа: https://securityintelligence.com/network-attacks-containing-cryptocurrency-cpu-mining-tools-grow-sixfold/ (дата обращения 20.11.2020)
2. Over 1.65 Million Computers Infected With Cryptocurrency Miners [Электронный ресурс]. – Режим доступа: https://www.bleepingcomputer.com/news/security/over-1-65-million-computers-infected-with-cryptocurrency-miners-in-2017-so-far/ (дата обращения 21.11.2020)
3. Ransomware Attacks Use JBoss Servers to Spread [Электронный ресурс]. – Режим доступа: https://securityintelligence.com/news/ransomware-attacks-use-jboss-servers-to-spread/ (дата обращения 21.11.2020)