Криптоджекинг (Cryptojacking) что за птица ?
Очень актуальная на сегодня тема криптовалют. Биткоин перешел границу в 30 тыс $ за монету и продолжает расти, вместе с криптой увеличивается количество инцидентов связанных с криптоджекингом (Cryptojacking)
Криптоджекинг – это схема использования чужих устройств (компьютеров, смартфонов, планшетных ПК или даже серверов) без ведома их владельцев с целью скрытого майнинга криптовалют.
Хакеры прибегают к методам криптоджекинга и похищают вычислительные мощности с зараженных устройств. Складывая все эти мощности, хакеры могут успешно (а главное – без существенных затрат) конкурировать с крупными игроками на рынке добычи криптовалют.
Криптоджекинг — не новая угроза, но она быстро развивается. Этот тип вредоносного ПО для майнинга имеет тенденцию уменьшаться и увеличиваться в зависимости от цен на криптовалюты. Плохая новость заключается в том, что в 2020 году криптоджекинг набирает обороты. Таким образом, 2018 год был одним из самых успешных для разработки и распространения вредоносных программ для криптоджекинга . В 2019 году в начале года наблюдалось снижение на 40% , затем последовал стабильный уровень заражения в 2020 году с небольшим повышением до августа. Эти тенденции совпадают с ценой биткойнов за последние три года.
Информация о криптоджекинге сильно занижается в индустрии безопасности, и лишь небольшая часть того, что там есть, из-за природы задействованного вредоносного ПО была замечена. Его единственная цель — вычислить числа с использованием компьютерных процессоров, и часто очень сложно отличить легитимный скрипт ПО от скрипта криптомайнера. Кроме того, код часто настолько индивидуализирован и безобиден, что сканеры вредоносных программ не обращают на него внимания.
Пример.
Основные направление криптожекинга — Монета крипты Monero
Cредний процессор на примере Intel i5 может обрабатывать около 500 хэшей в секунду в сети Monero . Серверы имеют много процессоров, поэтому они являются более прибыльной целью, чем устройства IoT, но устройства IoT более многочисленны и часто являются более мягкой целью (все цели, включая устройства IoT, веб-браузеры, мобильные телефоны и т.д,
Для статьи все эти устройства сделаем равными (так проще понимать). По текущим ценам хешрейт Monero составляет около 0,30 доллара США в неделю за процессор при майнинге.
Можно сказать, что это мизерная сумма, но давайте посмотрим на это с другой точки зрения. Атака с использованием межсайтовых сценариев на поиск Google может затронуть 6 миллиардов устройств за один день. Сегодня существует около 20 миллиардов устройств, подключенных к Интернету . Даже тот, кто сможет заразить 10 000 из 20 миллиардов экземпляров (0,00005%), может зарабатывать 2100 долларов в неделю.
Возникает вопрос кто и как может заразить незаметно, например 10 000 хостов?
Самый простой способ — автоматически найти уязвимое программное обеспечение. Выполнение кода является самой распространенной категорией уязвимостей за последние три года. Межсайтовый скриптинг (XSS) был уязвимостью номер 1, о которой сообщалось через HackerOne в 2019 году.
Если говорить о потенциальных исполнителях этих Атак. Те же самые Lazarus (проправительственные хакеры Северной Кореи). По словам экспертов Group-IB, Lazarus активно устанавливают майнеры на зараженные компьютеры. «Доходило до смешного: компьютеры, являющиеся точкой входа в скомпрометированную сеть атакуемого банка, также майнили криптовалюту для Lazarus»
Причин, по которым криптоджекинг является распространенным, три:
- он не требует повышенных разрешений, не зависит от платформы и редко запускает антивирусные программы .
- код часто бывает достаточно маленьким, чтобы его можно было незаметно вставить в библиотеки с открытым исходным кодом и зависимости, на которые полагаются другие платформы.
- Его также можно настроить на «туннелирование» в зависимости от устройства, а также использовать разновидности зашифрованного DNS, чтобы не вызывать подозрений.
Криптоджекинг также может быть построен практически для любого контекста и на любых языках, таких как JavaScript, Go, Ruby, Shell, Python , PowerShell и т.д.
Пока вредоносной программы есть права на запуск локальных команд, она может использовать вычислительную мощность процессора и запускать добычу криптовалюты. Помимо целых систем, криптомайнеры могут успешно работать в небольших средах, таких как контейнеры Docker , кластеры Kubernetes и мобильные устройства.
Какие экземпляры удалось поймать ?
В июле 2020 года специалистам по информационной безопасности Cisco удалось выявить ботнет-а Prometei который собирал криптовалюту Monero.
По словам исследователей из Cisco Talos, ботнет Prometei был активен с марта и использует комбинацию живых двоичных файлов (LoLBins), таких как PsExec и WMI, эксплойты SMB и украденные учетные данные для перемещения с одного устройства на другое.
Исследователи обнаружили в общей сложности 15 компонентов атаки, каждый из которых управляется основным модулем, отвечающим за шифрование данных перед их отправкой на сервер CnC. Cisco Talos считает, что все различные модули ботнета контролируются одним объектом.
Ботнет также доставляет вредоносное ПО Mimikatz для похищения паролей в зараженные сети. После того, как вредоносная программа поднимает легетимные учетные записи, она использует версию эксплойта EternalBlue для запуска основного модуля: SearchIndexer.exe (майнер Monero).
В конце марта 2018 года Drupal подвергся серьезной уязвимости удаленного выполнения кода ( CVE-2018-7600 ), за которой почти месяц спустя последовала еще одна ( CVE-2018-7602 ), обе метки названные Drupalgeddon 2 и Drupalgeddon 3. Как выяснилось при расследовании удаленное выполнение кода запускали майнера криптовалюты Monero XMRig.
В июне 2019 обнаружили новый майнер криптовалюты для Mac, который Malwarebytes определяет как Bird Miner, зловред находился во взломанном установщике для высококачественного программного обеспечения для создания музыки Ableton Live.
