Šta je Coinminer i kako se zaštititi?
Ako vam se računar pregreva, ima visok nivo CPU i/ili GPU, moguće je da ga neko drugi koristi za rudarenje kripto valute.
Coinmineri su programi za rudarenje popularnih kripto valuta kao što su Bitcoin, Monero, Ethereum itd. Ljudi ih legitimno koriste na svojim računarima kako bi ostvarili prihode od kripto valuta. Međutim, autori malvera su napravili pretnje i viruse kojim zloupotrebljavaju postojeće programe za rudarenje kripto valuta tako što računare drugih korisnika (procesor, grafički procesor, RAM, protok interneta i snagu) eksploatišu za rudarenje bez njihovog znanja i pristanka.
Virusi za rudarenje kripto valuta brzo evoluiraju, integrišući nove tehnologije pomoću kojih dobijaju ne samo svojstvo crva (sposobnost inficiranja velikog broja računara), nego i mogućnost potpune eksploatacije inficiranog računara, kao u slučaju WannaMine kripto crva koji oponaša zloglasni WannaCry ransomware.
Coinmineri rade na različitim platformama, uključujući Windows, OS X/macOS, Linux, Android i pametne (IoT) uređaje.
Kako prepoznati coinminer?
Indikatori koji pokazuju da se računar koristi za rudarenje su sledeći:
- Visok nivo korišćenja procesora (CPU) i/ili grafičkog procesora (GPU).
- Pregrevanje računara.
- Padanje sistema ili restartovanje.
- Spor odziv.
- Neuobičajena mrežna aktivnost (npr. konekcija sa sajtovima ili IP adresama koje su poznate po rudarenju). Takođe, možda ćete primetiti neočekivane PowerShell procese koji se povezuju sa IP adresama koje su povezane sa xmrpool[.]net, nanopool[.]org, moneropool[.]com itd.
Da li su coinmineri opasni?
Neki administratori ne smatraju coinminere prioritetnim pretnjama zbog toga što u suštini nisu destruktivne, kao što je slučaj sa ransomwareom. Međutim, uticaj na performanse i prekomerna potrošnja resursa nalažu da ovoj pretnji treba pristupiti ozbiljno. Stoga, naša preporuka je da preduzmete potrebne mere i sprečite coinminere.
Neki coinmineri ne samo da donose profit kriminalcima zloupotrebom tuđih računara, već nose i druge pretnje poput krađe kredencijala. Prisustvo coinminera treba da bude alarm za administratore da postoje slabosti u okruženju.
Destruktivni malveri koriste slične metode kao coinmineri. Zato, iskorenjivanje coinminera i jačanje odbrane pomaže i u sprečavanju drugih pretnji.
Koje su osnovne vrste coinminera?
- Izvršni (.exe) fajlovi. U pitanju su tipični maliciozni .exe fajlovi ili PUA/PUP (potencijalno neželjene aplikacije) .exe fajlovi koji su smešteni na računaru i dizajnirani za rudarenje kripto valuta.
- Mineri koji rade u browseru. To su JavaScript mineri (ili mineri zasnovani na nekoj sličnoj tehnologiji) koji rade u internet browseru i "kradu" resurse računara korisnika sve dok se korisnik nalazi na datom vebsajtu. Neki vlasnici sajtova namerno koriste minere kao alternativni način za ostvarivanje zarade u odnosu na oglase, npr. Coinhive, dok su na nekim sajtovima mineri ubačeni bez znanja i pristanka vlasnika.
- Napredni fileless mineri. Kao što je bilo očekivano, pojavio se malver koji posao rudarenja vrši u memoriji računara zloupotrebom legitimnih alata poput PowerShella. Jedan od primera je MSH.Bluwimps koji pored rudarenja obavlja i druge maliciozne aktivnosti.
Kako coinmineri dospevaju na vaš računar?
Coinmineri najčešće dolaze do vašeg računara na neki od sledećih načina:
- Preko malicioznih web linkova (spam poruka).
- Preko web linkova koji postoje u različitim formama, npr. kao lažni "like" dugmići, preko promenjenih banera na sajtovima ili ako već imate instalirane PUP (potencijalno neželjene softvere) na računaru.
- Preko malicioznih atačmenta u email poruci.
Kako se zaštititi od coinminera?
Izvršne fajlovi koji služe za rudarenje kripto valuta mogu da prepoznaju tradicionalni alati, poput antivirusa. Ukoliko koristite naprednije rešenje za zaštitu, kao što je SEP, omogućite sve komponente, odnosno slojeve zaštite koje rešenje sadrži. Što više komponenata je instalirano i omogućeno (kod SEP-a to su SONAR, Insight, Advanced Machine Learning itd.), veće su šanse da se ove pretnje otkriju.
Symantec je razvio robustan mehanizam odbrane od neželjenih coinminera. Symantecovi proizvodi izbacuju upozorenje kada pronađu ili primete fajlove povezane sa rudarenjem kripto valuta.
Coinmineri koji koriste browser mogu da budu detektovani i uklonjeni pomoću antivirus definicija, tj. potpisa. Postoji veliki broj potpisa kreiranih za ovu vrstu pretnje, tako da treba da se postarate da vam je Intrusion Prevention Sistem (IPS) instaliran i omogućen. Takođe, podesite IPS polisu tako da blokira (akcija Block), umesto da samo prijavljuje (akcija Log) ovu vrstu saobraćaja. Kao krajnja mera, možda ćete morati da blokirate sajt na kom postoji coinminer na firewallu.
Napredni fileless mineri su najteži za detekciju i zaustavljanje, a za odbranu od njih će vam možda trebati pomoć tehničke podrške.
Mere prevencije
Evo nekoliko saveta za sprečavanje i odgovor na coinminere:
- Dobro upoznajte svoje okruženje. Pratite koliko često krajnji korisnici prijavljuju slabije performanse računara. Ukoliko se broj pritužbi poveća, istražite da li ima minera.
- Zaštitite web servere kako bi sprečili napadače da u vaš sajt ubace skriptu za rudarenje poput Coinhive.
- Primenite sve dostupne zakrpe. Mnogi mineri koji uđu u organizaciju su u stanju da se kreću i izvršavaju tako što eksploatišu ranjivosti za koje postoje zakrpe.
- Pratite mrežne logove (IPS, DNS i firewall logove) zbog sumnjivih odlaznih konekcija ka IP adresama povezanim sa rudarenjem. Blokirajte ove adrese u korporativnom firewallu i smatrajte sumnjivim sve računare koji nastave povezivanje sa datim adresama.
- Zaključajte RDP pristup i često menjajte sve korisničke lozinke, naročito administratorske. Naravno, uvek koristite jake lozinke.
- Koristite najnoviju PowerShell verziju (5 ili višu) i konfigurišite da loguje detaljnu aktivnost.
- Preduzmite mere da obezbedite built-in WMI (Windows Management Instrumentation). Sajber napadači sve češće zloupotrebljavaju tehnologiju, a to važi i za napadače koji rudare kripto valute. Admini bi trebalo da razmotre kreiranje grupnih polisa (GPO) ili pravila za firewall kako bi sprečili neautorizovane WMI aktivnosti sa udaljene lokacije, a možda i kontrolu pristupa prema korisničkim nalozima.
Dodatni saveti za sve korisnike:
- Pokrećite programe u sandboxu.
- Instalirajte naprednu anti malver zaštitu.
- Redovno ažurirajte OS i sve aplikacije.
- Instalirajte aplikaciju za blokiranje reklama (ad-blocker).
- Pažljivo otvarajte imejlove.
- Onemogućite macro u MS Office.
- Onemogućite JavaScript ako ga ne koristite.
- Neka automatska ažuriranja za Firewall uvek budu uključena.
Izvor: Symantec