Vijf manieren om cryptominers op uw netwerk te vangen

 Maandag 13 augustus 2018
Vijf manieren om cryptominers op uw netwerk te vangen

De prijsexplosie van cryptomunten zorgde voor veel winnaars, en meer recentelijk voor verliezers nadat de waarden plotseling waren ingestort.

Eén manier waarop velen hun weddenschappen afdekken is via cryptomining, waarbij servers en zelfs laptops van eindgebruikers aan het werk worden gezet om transacties te verwerken die van fundamenteel belang zijn voor de blokketen.

Als eindgebruikers op het werk cryptomining uitvoeren, verslinden ze hulpbronnen en creëren ze een aanvalsoppervlak.

Het SANs Institute heeft een witboek gepubliceerd, Detecteren - Crypto-valutamining in bedrijfsomgevingen, boordevol praktisch advies.

“Om mining uit te voeren moet je een client installeren die de blokken berekent en die toegang heeft tot internet. De tools en applicaties die voor mijnbouw worden gebruikt, zijn niet goed gebouwd, waardoor ze niet betrouwbaar zijn. De tools en applicaties kunnen kwetsbaarheden bevatten die kunnen worden uitgebuit, of er zijn achterdeurtjes geïmplementeerd door de makers. Het inzetten van deze applicaties en tools in een bedrijfsomgeving kan mogelijk leiden tot ernstige gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsomgeving. Wat ook zorgwekkend is, is dat de gebruiker die de mining opzet dit doet om geld te verdienen ten koste van de bedrijfsomgeving. Als zodanig kan de gebruiker opzettelijk de beveiligingsinstellingen van het bedrijf omzeilen.' de SANs-whitepaper uitgelegd.

Ik kwam dit probleem voor het eerst tegen tijdens een discussie op Reddit waar sysadmins deelden hun ervaringen en advies.

“We hebben onlangs problemen gehad met werknemers van bedrijven die we beheren, die cryptominers op hun werkcomputers laadden. We hebben de .exe geblokkeerd voor de programma's die we kennen, zoals LiteCoin Miner en een paar andere, maar heeft iemand van jullie een betere oplossing om deze op te sporen?” vroeg een beheerder. Aan tips geen gebrek.


1. Poortblokkering


Een belangrijke bescherming is het blokkeren van poorten die door de mining-applicatie worden gebruikt. "Blokkeer alle poorten behalve de benodigde poorten van de firewall, geef de gebruikers geen lokale beheerder", zei hij. stelde een beheerder voor.


2. App-blokkering


Ook kun je apps blokkeren, zo adviseerde de eerste gebruiker. "Er zijn whitelist- en blacklist-software voor applicaties, zodat u kunt segmenteren wat kan worden geïnstalleerd en wat u als beheerder kunt uitvoeren," zei hij. een andere gebruiker geadviseerd.

Een andere gebruiker heeft iets dieper gegraven. “Je kunt kijken naar het softwarebeperkingsbeleid en in principe voorkomen dat elke applicatie wordt uitgevoerd die niet door de beheerders is geïnstalleerd/beheerd.

Anders kun je gewoon de bronnen van de computer in de gaten houden om een indicatie te krijgen van een ongewoon hoge CPU/GPU-belasting", zegt hij. adviseerde een IT-professional.

Microsoft AppLocker kreeg op deze afdeling veel lof. "AppLocker helpt de administratieve overhead te verminderen en helpt de organisatiekosten voor het beheer van computerbronnen te verlagen door het aantal helpdeskoproepen te verminderen dat voortkomt uit gebruikers die niet-goedgekeurde applicaties gebruiken," Microsoft heeft het uitgelegd.

Eén gebruiker zong de lof van de oplossing. “AppLocker is iets geweldigs. Het is niet alleen een uitstekende verdedigingslinie tegen malware en virussen, maar het helpt ook bij zaken als miners en andere software die je normaal gesproken niet op je machines draait", zegt hij. zei een AppLocker-fan. “Besteed een paar uur aan het leren van AppLocker. Nog een paar die een aantal testhuisartsen ontwikkelen en piloten. Afhankelijk van de grootte en het type organisatie kun je deze binnen twee weken uitrollen en je organisatie beschermen tegen een groot aantal aanvallen.”


3. Antivirus


Antivirus is een belangrijk onderdeel van elke beveiligingsstrategie en een must om cryptominers tegen te houden. "Ik werk bij een MSP en onze AV-oplossing vangt Bitcoin-mijnwerkers op voordat ze worden uitgevoerd, of als ze actief zijn, crasht deze en worden de uitvoerbare bestanden verwijderd", zei hij. zei een gebruiker. “We hebben ook monitoren voor het CPU-gebruik, dus als het meer dan een uur buiten kantooruren piekt, wanneer de eindgebruiker het meest waarschijnlijk aan het minen is, zodat hij tijdens het werk niet uit eigen middelen hoeft te putten, krijgen we kaartjes. ”

Deze gebruiker blokkeert ook apps. “We hebben instellingen voor applicatie-compliance die alle geïnstalleerde en actieve applicaties op elke computer en server in onze omgeving monitoren. Als deze niet op de goedgekeurde lijst staat, wordt deze gemarkeerd en worden er tickets gegenereerd.

AV is geen perfecte verdediging. "Traditionele AV blokkeert veel mining-software, maar niet alles. Er is een vrij goede kans dat dit door de AV/monitoring wordt opgepikt als een beveiligingsgebeurtenis, zelfs als het niet wordt geblokkeerd", zei hij. zei een gebruiker. "Op alle servers monitoren we het CPU-gebruik. Als het langer dan een uur op 100% stond, zou het NOC ernaar kijken."

SANs is het ermee eens dat AV een belangrijke, maar verre van perfecte verdediging is. “Het is erg belangrijk om alle antivirus- en antimalwaresoftware up-to-date te houden. Sommige mining-applicaties zullen door antivirussoftware worden gedetecteerd, maar dat is niet het geval voor alle applicaties die voor mining worden ontwikkeld”, zegt hij. SAN's gezegd.

Het beperken van rechten is ook van cruciaal belang. “Op de host gebaseerde beheerdersrechten moeten zoveel mogelijk worden beperkt. Als een gebruiker geen beheerdersrechten nodig heeft, mag hij of zij deze toegang niet krijgen. Door de toegang te beperken kunnen gebruikers geen (ongeautoriseerde) software installeren en geen mining uitvoeren. Een gebruiker kan deze beperking echter omzeilen door een Privilege-escalatieaanval uit te voeren. SAN's gezegd.


4. DNS-bescherming


Het SANs Institute stelt een diepgaande aanpak voor. "Het beschermen tegen en detecteren van cryptovalutamining moet in alle lagen van de omgeving plaatsvinden", zei hij. zo betoogde de groep. DNS-blokkering kan de sleutel zijn om cryptominers tegen te houden voordat ze gelanceerd worden. Het inspecteren van IP-adressen en DNS-verzoeken kan aanwijzingen opleveren; Het is echter belangrijk op te merken dat DNS-verzoeken alleen aan het begin van een mining-sessie worden gedaan. Op basis van de onderzochte network mining-toepassingen vindt de communicatie tussen de clients en de server cyclisch plaats, vaak tussen de 30-100 seconden. Het eerste dat gebeurt is een DNS-verzoek, gevolgd door TCP-communicatie.' SAN's gezegd

Domeinen blokkeren is iets wat slimme IT-professionals tegenwoordig doen. “We blokkeren nieuw gevonden domeinen. Dit voorkomt de meeste soorten malware omdat de software helemaal niet kan worden geïnstalleerd of niet kan worden uitgevoerd als deze het voortdurend veranderende domein niet kan bereiken. Dit is echt een enorme hulp, niet alleen voor cryptomining,” zei een Reddit-lezer.


5. Systemen en CPU-monitoring


"Waarschijnlijk de meest effectieve en beste manier om mijnbouwactiviteiten te detecteren is door middel van actieve realtime prestatie- en systeemmonitoring."

Slimme IT-professionals zijn al op zoek naar zware CPU-belastingen. “We monitoren het CPU-gebruik en de temperaturen. Als er sprake is van een abnormale hoeveelheid CPU-gebruik of als de temperatuur hoger begint te stijgen dan normaal, wordt er een waarschuwing geactiveerd in ons monitoringsysteem en zal een technicus op afstand de computer benaderen om erachter te komen wat er aan de hand is. Meestal lijkt het niet op een cryptominer, maar eerder op een probleem met een applicatie. Het geeft ons wel de mogelijkheid om een beetje proactief te zijn en problemen iets eerder te diagnosticeren, en zelfs te beginnen met diagnosticeren voordat gebruikers contact opnemen met de helpdesk,” zei een Reddit-bezoeker.

Er is een voorbehoud. Vroege cryptominers aten de hele CPU op, waardoor deze in principe nutteloos was voor echt werk en gemakkelijk te herkennen was. Nieuwe tools zijn beter aanpasbaar. "Tijdens het schrijven van dit artikel werden applicaties geobserveerd en getest waarmee de gebruiker kon instellen hoeveel werk de mining-applicatie mocht uitvoeren," SAN's gezegd.


Hoe Pulseway helpt


Pulseway, de enige mobile-first RMM, helpt cryptominers op verschillende manieren te blokkeren:

Pulseway monitort het CPU-gebruik en beheerders kunnen regels instellen om te waarschuwen als het gedurende een bepaalde tijd piekt. Omdat de cryptocurrency het CPU-gebruik naar een hoog percentage zou duwen, kun je een melding instellen en een waarschuwing krijgen wanneer de CPU gedurende bijvoorbeeld 30 minuten hoog is.

Antivirus is de sleutel. Kaspersky Anti-Virus van Pulseway detecteert wanneer u een website probeert te openen waarop een cryptomining-script draait. En het blokkeert de website!

Ten slotte kan Pulseway DNS gebruiken om domeinen en sites te blokkeren die verband houden met mijnbouw.

Lees hier meer over eindpunt- en DNS-bescherming.

Probeer Pulseway vandaag

Begin binnen enkele klikken en ervaar het krachtigste IT-beheerplatform in de industrie.

Gratis proefperiode van 14 dagen         Geen creditcard nodig
Capterra Logo
GetApp Logo
G2 Logo
Spicework Logo