Como detectar e bloquear criptomineradores em sua rede

Um amigo recentemente viajou para a Islândia e voltou com o conhecimento de que o país é um centro importante para a mineração de Bitcoin devido à sua fonte de energia térmica barata. Os computadores da sua rede também podem ser um local ideal para a criptomineração. Eu sei de indivíduos que foram encontrados executando software de criptomineração em máquinas de clientes, violando as práticas da empresa.

Criptomineração é o processo de criação de unidades de criptomoeda. Muitas das criptomoedas populares são problemas matemáticos que criam unidades monetárias. Os ciclos da CPU se transformam em dinheiro. Esse processo é legal, mas a criptomineração criminosa usa a energia e os ciclos da CPU das máquinas que eles sequestram para ganhar dinheiro.

O cryptojacking ocorre quando um ator mal-intencionado sequestra sistemas por meio de servidores e navegadores da web. O JavaScript malicioso é normalmente injetado ou plantado em servidores da web para que, quando os usuários visitam uma página da web, seus navegadores sejam infectados, transformando seus computadores em criptomineradores.

Você pode detectar e se proteger dessa atividade? Absolutamente. Vamos começar com as formas mais passivas de detectar criptomineradores em sua rede.

Monitore o desempenho da rede

Primeiro, analise o desempenho dos sistemas em sua rede. Os usuários finais podem notar o uso excessivo da CPU, mudanças na temperatura ou velocidades mais rápidas do ventilador e relatá-los à TI. Isso pode ser um sintoma de aplicativos de negócios codificados incorretamente, mas também pode indicar malware oculto nos sistemas. Defina as linhas de base de seus sistemas para identificar melhor as anomalias em seus sistemas.

Não confie apenas em anomalias de desempenho para identificar os sistemas afetados. Incidentes recentes mostraram que os invasores estão limitando a demanda da CPU nos sistemas para ocultar seu impacto. Por exemplo, um recente Relatório de Defesa Digital da Microsoft observou as atividades do grupo de ameaça vietnamita BISMUTH, que tinha como alvo o setor privado e instituições governamentais na França e no Vietnã. “Como os mineradores de criptomoedas tendem a ser vistos como ameaças de baixa prioridade pelos sistemas de segurança, o BISMUTH foi capaz de tirar proveito do perfil de alerta menor causado pelo malware para entrar nos sistemas despercebido”. Como a Microsoft observou em um post de blog, o BISMUTH evitou a detecção “misturando-se” com a atividade normal da rede.

Analise os registros para conexões não autorizadas

Como você detecta esses agentes maliciosos furtivos para além de um computador com comportamento inadequado? Revise seus logs de firewall e proxy para conexões que eles estão fazendo. De preferência, você deve saber exatamente a quais locais e endereços de Internet os recursos da empresa estão autorizados a se conectar. Se este processo for muito complicado, pelo menos analise os logs do firewall e bloqueie os locais conhecidos do criptominerador.

Uma postagem recente do blog Nextron indica os pools de criptomineração típicos que eles viram em uso. Você pode revisar o firewall ou os servidores DNS para ver se foi afetado. Revise seus registros para padrões que incluem xmr. *pool.com *pool.org e pool.* para ver se alguém ou alguma coisa está fazendo uso indevido de sua rede. Se você tiver uma rede altamente sensível, limite as conexões apenas aos locais e endereços IP necessários à sua rede. Nesta era da computação em nuvem, isso pode ser difícil de determinar. Mesmo seguindo os endereços IP que a Microsoft usa pode ser difícil de acompanhar. Por exemplo, você pode precisar ajustar a lista de endereços IP autorizados quando a Microsoft adiciona novos intervalos para seus data centers do Azure.

Use extensões de navegador com bloqueador de criptomineração

Algumas extensões de navegador irão monitorar e bloquear criptomineradores. As soluções No Coin e MinerBlocker, por exemplo, monitoram atividades suspeitas e bloqueiam ataques. Ambos têm extensões disponíveis para Chrome, Opera e Firefox. Como alternativa, você pode bloquear a execução de JavaScript em seu navegador, pois aplicativos JavaScript maliciosos são entregues por meio de anúncios em banner e outras técnicas de manipulação de site. Investigue se o bloqueio de JavaScript pode ser feito em sua organização, porque pode ter um impacto prejudicial a alguns sites de que você precisa por motivos comerciais.

Considere o Super-Duper Secure Mode da Edge

O Edge está testando o que a Microsoft chama de Super-Duper Secure Mode. Ele melhora a segurança do Edge desabilitando a compilação just-in-time (JIT) no mecanismo V8 JavaScript. A Microsoft diz que os bugs no JavaScript dentro dos navegadores modernos são o vetor mais comum para os invasores. Os dados da CVE de 2019 mostram que aproximadamente 45% dos ataques ao V8 estão relacionados ao JIT.

Desativar a compilação JIT afeta o desempenho, e os testes conduzidos pela pesquisa de vulnerabilidade do navegador da Microsoft [Microsoft Browser Vulnerability Research] mostraram algumas regressões. Os benchmarks de JavaScript, como Speedometer 2.0, mostraram um declínio significativo de até 58%. Apesar disso, a Microsoft diz que os usuários não notam a queda de desempenho porque esse benchmark “conta apenas parte de uma história maior” e os usuários raramente notam uma diferença em seu uso diário”.

Observe a criptomineração do ponto de vista de ameaças externas e internas. Sua rede ou, se você for um provedor de serviços gerenciados, as redes de seus clientes podem ser uma tentação que os usuários internos que desejam minerar criptomoeda não estão dispostos a deixar passar. Reveja suas opções para se proteger proativamente de possíveis ataques.