Хабрахабр

Майнеры не пройдут

Ну или хотя бы поспотыкаются.

Ну видит и видит, чего вам, битка жалко, что ли? С начала 2017 года наш Центр мониторинга информационной безопасности видит попытки майнить криптовалюты на корпоративных ИТ-ресурсах, подключённых на мониторинг.

Какие угрозы для бизнеса это несёт? Действительно, а какой вред наносят майнеры в корпоративной сети? Давайте попробуем разобраться и понять, как искать майнеров и бороться с ними (если, конечно, решим это делать).

0 International image
Marco Krohn, Creative Commons Attribution-Share Alike 4.

А надо ли вообще их ловить

Майнинг — странная угроза ИБ. На первый взгляд даже непонятно, почему он — угроза. Майнерские клиенты не трогают ваши данные, и майнерам-злоумышленникам они тоже, как правило, не очень нужны.

C осени 2017 года Джон МакКамбер отвечает за пропаганду ИБ по Северной Америке в (ISC)² (проводят сертификацию на CISSP, SSCP, CCSP, CSSLP и другие непонятные аббревиатуры). Для анализа ущерба, который наносят майнеры, я предлагаю воспользоваться моделью «Куб МакКамбера». До этого Джон работал в ВВС США и Gartner.

МакКамбер предложил модель, отражающую три основных направления обеспечения ИБ.
image

Цели безопасности (Desired goals)

  • Конфиденциальность
  • Целостность
  • Доступность

Состояние информации (Information states)

  • Передача
  • Хранение
  • Обработка

Гарантии безопасности или защитные меры (Safeguards)

  • Человеческий фактор
  • Политики и практики
  • Технологии

Давайте пробежимся по граням куба и посмотрим, как майнинг влияет на каждую.

Направление

Влияние майнинга

Конфиденциальность

Не нарушает.

Целостность

Не нарушает.

Доступность

Нарушает, может замедлить, но не прекратить доступ к информации (в этом пункте мнения рецензентов разделились).

Хранение

Не нарушает.

Передача

Сетевое взаимодействие ПО с майнинг-пулами (или C&C-серверами в случае работы вредоносного ПО) грузит канал, а трафик может быть дорогим (для юридических лиц иногда в разы дороже, чем для физических) или лимитированным.

Обработка

Если майнер полностью утилизирует ресурсы аппаратного обеспечения (а это тревога и подозрительно), пользователи будут наблюдать задержки при работе с данными. Типичная ситуация — «Да что ж ты так тупишь, а?!»

Политики и практики

Во-первых, кто-то обогащается за счёт компании или учреждения. Для добычи крипты нужна электроэнергия, за которую приходится платить компании. Во-вторых, сотрудники ИТ и ИБ отвлекаются от других задач, им приходится расследовать эти инциденты и реагировать на них. В-третьих — для компании существуют юридические риски, поскольку правовой статус криптовалюты и её добычи в России пока не определён (20 марта 2018 года в Госдуму внесён проект ФЗ «О цифровых финансовых активах»).

Человеческий фактор

Если не все сотрудники подразделения или коллектива в сговоре, то появляются вопросы, кто поставил майнера? Кто «заложил» коллегу? За ними последуют претензии в стиле «Вася Пупкин постоянно мониторит курсы валют, чтобы добывать самую выгодную, и не занимается основной работой. А мне одному разгребать эту кучу заявок?» К тому же игра на любопытстве и жадности хорошо срабатывает в периоды пика курса криптовалют и информационного шума, поэтому люди больше подвержены атакам социнженеров и фишингу.

Технологии

У МакКамбера этот пункт посвящён оценке работы средств защиты. Следовательно, если мы нашли майнера, то мы должны понять, как он попал в нашу инфраструктуру? Какое из СЗИ допустило? Что ещё к нам могло попасть таким же способом? Это явно указывает на наличие проблем или уязвимостей, с которыми придётся разбираться. Но я бы не назвал это «ущербом». Скорее аргумент в пользу контроля.

Как-то слишком много потенциальных проблем, чтобы можно было просто игнорировать добычу на своей инфраструктуре. Значит, всё-таки будем ловить.

Как искать

На хостах

Обычно, подозрения у пользователя появляются тогда, когда компьютер вдруг начинает тормозить. В первую очередь проверим, что у нас с процессами.

Для Windows это можно сделать с помощью Диспетчера задач (Ctrl+Alt+Del или Ctrl+Shift+Esc), для Mac — Activity monitor, для «UNIX, Unix-подобных и других POSIX-совместимых операционных систем» — ps.

Но тогда обошлось, оказалось, что несколько ресурсоёмких легитимных процессов запустились одновременно. image
Реальный ДЗ, после которого и появилась идея написать статью.

Они прекращают работать, пока открыт ДЗ, и потом перезапускают себя. Проблема в том, что некоторые майнеры научились отслеживать запуск Диспетчера задач. Как вариант — попробовать альтернативы:

Если видим незнакомый или подозрительный процесс, гуглим название. Если это что-то плохое, почти наверняка там же будет инструкция, как его удалить, и что сделать, чтобы не повторилось.

Поскольку для них главной целью является вычислительные ресурсы компьютера, то им не хочется за них конкурировать с другими майнерами. В этом нелёгком деле, как ни странно, могут помочь и сами создатели майнеров. В коде указаны названия процессов-майнеров:
В самом конце марта консультант по безопасности Xavier Mertens (xme) обнаружил код, который «гасит» конкурирующие процессы добычи и некритичные для нормальной работы процессы ОС, чтобы освободить ресурсы для себя.

Silence

vshell

taskhots

Carbon

winlogan

svchostx

xmrig32

winlogo

xmr86

nscpucnminer64

logon

xmrig

mrservicehost

win1nit

xmr

servisce

wininits

win1ogin

svchosts3

winlnlts

win1ogins

svhosts

taskngr

ccsvchst

system64

tasksvr

nscpucnminer64

systemiissec

mscl

update_windows

taskhost

cpuminer

vrmserver

sql31

Если какой из этих процессов запущен на машине, поздравляю! Скорее всего, вы майните для кого-то. Вот так создатель малвари сделал за нас часть исследовательской работы.

image

Хорошие антивирусы научились ловить майнеров. Не стоит забывать и про системы защиты конечных точек. Это не всегда включено по умолчанию, потому что пользователь может осознанно скачать, установить и запустить это ПО. Главное не забыть в Настройках указать антивирусу, что их надо блокировать.

Долго, но не особо сложно. Идём на сайт антивирусного вендора, скачиваем образ диска восстановления, записываем на носитель, грузимся с него и проверяем систему.

Он сознательный, заметил и сообщил. Всё, что было написано выше, относится к тому случаю, когда пользователю не хочется иметь на своём ПК программу-майнера. Но что делать, если пользователь сам хочет майнить и не собирается никому об этом говорить?

В сети

Конечно, есть что половить и в сети! Мне попалась вот такая занятная картинка:

image

Наблюдение за сетью — способ найти «несознательных» пользователей и вредоносное майнинговое ПО.

Что нас должно насторожить:

  • Посещение сайтов, форумов, борд про майнинг. Аналитики нашего Центра мониторинга и рядом сидящие коллеги на меня уже косо поглядывают).
  • Скачивание ПО для майнинга, а с последними новостями про множественные форки популярных продуктов на гитхабе с последующим встраиванием туда дропперов — вообще любого ПО. Либо принудительно проверять всё, что прилетело (есть коммерческие решения, которые не отправляют проверяемые файлы в «облако»), либо просить пользователей отправлять дистрибутивы программ, вложения или исполняемые файлы на Virustotal.
  • Сетевое взаимодействие узлов с пулами для обмена информацией о полученных блоках и хешах.

К сожалению, последний способ работает только для известных майнеров, доменов и IP-адресов при условии корректной настройки и своевременного обновления межсетевых экранов и сетевых IDS / IPS. Блокирование портов — так себе метод, потому что на этих портах может быть и легальная активность.

Пару лет назад я делал большое внутреннее исследование по Threat Intelligence и один из типов источников назвал Community Open Source Threat Exchange (COSTE). Возникает вопрос: а где брать данные для детектирования? Также я удалил из этого списка источники против спама, фишинга и общедоступные базы уязвимостей.
В таблице ниже приведён их список, ссылки на момент написания этой статьи были рабочими.

Если есть, чем дополнить, пишите в комментариях или в личку.

Хорошо, мы:

  • нашли подозрительное в трафике;
  • пришли на конкретный узел и убедились, что работает майнер;
  • удалили его, используя нагугленные для конкретного ВПО рекомендации;
  • уволили сотрудника, который майнил на наших серверах;
  • и даже отправили образец ВПО и дамп трафика на анализ в Virustotal или своему любимому вендору.

Но чаше всего наличие майнера в инфраструктуре говорит, что проблема у нас не в майнере. Проблема шире — в людях, в управлении уязвимостями, в настройке оборудования и СЗИ. Удаляя ПО, мы решаем только конкретную проблему с этим экземпляром ПО. А что делать, чтобы ситуация не повторялась?

Как защищаться?

Бекаптесь и обновляйтесь!

Иначе все усилия будут похожи на картинку из одной из предыдущих наших статей. Все данные ниже рекомендации будут работать только при условии регулярного обновления узлов.

image

Сеть

Благодаря средствам сетевой безопасности мы найдём следы работы ПО для добычи в нашей инфраструктуре. Даже если эти инструменты работают в режиме детектирования, мы получим достаточно информации для дальнейшего расследования.

Поэтому и рекомендовать блокирование по репутационным спискам сходу не получится. Многие ИТ и ИБ администраторы не любят включать защиту сети в режим блокирования, на это у них есть веские и понятные причины, связанные с доступностью сервисов. Майнер, как правило, не угрожает вашим данным прямо в момент обнаружения, есть время разобраться.

В качестве ещё одной превентивной меры можно сегментировать сеть, для предотвращения «горизонтального» распространения вредоносного ПО.

IaaS

У кого много вычислительных мощностей? У облачных провайдеров! Кто заплатит за виртуалочки? Клиент провайдера! Вот захватывающая история почти-попадания на 12 000 долларов на дружественном сайте.

Во избежание проблем:

  1. Используйте сложные и уникальные пароли.
  2. Настройте 2-FA.
  3. Сведите к необходимому минимуму количество админских учёток.
  4. Если платите по фактическому потреблению ресурсов, постоянно мониторьте активность и настройте оповещения на каждый чих.

Сайты

Скорее всего, вы сами не будете страдать от того, что на вашем сайте будет размещён вредоносный код, заставляющий машины посетителей добывать криптовалюту для злоумышленников. Во всяком случае, какое-то время. Потом есть риск получить это

image

и пессимизацию в поисковой выдаче и снижение посещаемости.

Хорошо бы им следовать, если возможно. Для каждой популярной CMS и платформы есть руководства по безопасности.

Рекомендовать какой-то конкретный антивирус было бы некорректно, читайте отзывы и советы. Также стоит проверить, не заражены ли уже ваши сайты. Я находил темы и на Тостере, и на Stackoverflow.

Есть хорошая статья про майнинг на машинах посетителей сайтов.

Пользовательские АРМ

Как обычно, человеки — самая большая проблема. Если честно, я не знаю способов, как надёжно поймать сисадмина или безопасника, если он захочет (ну вот прям сильно захочет, решительно!) майнить на работе. Все способы напоминают костыли.

  • А чего у нас счёт за электричество больше? — Ну так весна, кондиционеры включили.
  • А что это за новая коробка в стойке? — Спецоборудование для комплаенса. Не задавайте больше таких глупых вопросов.
  • Давайте будем вести логи всех действий администраторов! — А просматривать их будут те же администраторы?

Но несколько рекомендаций всё-таки можно дать.

В качестве шпаргалки можно использовать раздел про Куб МакКамбера. Во-первых, стоит объяснить вред майнинга для компании.

Будет хоть какой-то аргумент в споре с нерадивым сотрудником. Во-вторых, в трудовом договоре нужно прописать запрет использования корпоративных ИТ-ресурсов в личных целях.

Мало денег? В-третьих, если всё-таки факт майнинга был подтверждён, следует понять мотивы человека. Было просто интересно попробовать? Не знал, что могут наказать? Это может и не разрешит мирно конкретную ситуацию, но покажет, на что стоит обратить внимание в будущем.

Не можешь бороться — возглавь! А ещё можно просто решить, что майнинг — вполне себе бизнес и начать добывать крипту в промышленных масштабах.

И напоследок держите майндкарту про всё написанное.

image
Оригинальный размер.

Бонус

Коллеги рассказали ещё один абсолютно не технический способ выявления майнеров-сотрудников — «В серверной вдруг стало чисто». Админы достаточно долго «прохладно» относились к порядку в серверной, и вдруг она засияла чистотой. Никаких видимых причин для такой резкой смены настроения не было. А мониторинг нескольких серверов показал ровную почти стопроцентную загрузку.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»