Cinco maneiras de capturar criptomineradores em sua rede

 Segunda-feira, 13 de agosto de 2018
Cinco maneiras de capturar criptomineradores em sua rede

A explosão no preço das criptomoedas criou muitos vencedores e, mais recentemente, perdedores após a queda repentina dos valores.

Uma maneira de muitos protegerem suas apostas é por meio da mineração de criptografia, onde servidores e até mesmo laptops de usuários finais são colocados para trabalhar no processamento de transações que são fundamentais para a cadeia de blocos.

Se você tiver usuários finais realizando mineração de criptografia no trabalho, eles estarão consumindo recursos e criando uma superfície de ataque.

O SANs Institute publicou um white paper, Detecção de mineração de criptomoedas em ambientes corporativos, repleto de conselhos práticos.

“Para realizar a mineração é necessário instalar um cliente que calcule os blocos e que tenha acesso à Internet. As ferramentas e aplicativos utilizados para mineração não são construídos adequadamente, o que os torna pouco confiáveis. As ferramentas e aplicativos podem apresentar vulnerabilidades que podem ser exploradas ou ter backdoors implementados pelos criadores. A implantação dessas aplicações e ferramentas no ambiente corporativo pode levar a sérios impactos na confidencialidade, integridade e disponibilidade do ambiente corporativo. O que também preocupa é que o usuário que monta a mineração faz isso para ganhar dinheiro às custas do ambiente corporativo. Como tal, o usuário pode ignorar intencionalmente as configurações de segurança corporativa”, afirmou. o white paper SANs explicou.

Encontrei esse problema pela primeira vez em uma discussão no Reddit , onde os administradores de sistemas compartilhavam suas experiências e conselhos.

“Recentemente, tivemos problemas com funcionários de empresas que gerenciamos ao carregar mineradores de criptografia em seus computadores de trabalho. Bloqueamos o .exe para os programas que conhecemos, como LiteCoin Miner e alguns outros, mas algum de vocês tem uma solução melhor para detectá-los?” um administrador perguntou. Não faltaram dicas.


1. Bloqueio de porta


Uma proteção importante é bloquear as portas usadas pelo aplicativo de mineração. “Bloqueie todas as portas do firewall, exceto as necessárias, não dê aos usuários administrador local”, disse ele. um administrador sugeriu.


2. Bloqueio de aplicativos


Você também pode bloquear aplicativos, como aconselhou o primeiro usuário. “Existem listas brancas de aplicativos e softwares de lista negra para que você possa segmentar o que pode ser instalado e o que pode ser executado como administrador”, disse ele. outro usuário aconselhou.

Outro usuário foi um pouco mais fundo. “Você pode dar uma olhada nas Políticas de Restrição de Software e basicamente bloquear a execução de qualquer aplicativo que não seja instalado/gerenciado pelos administradores.

Caso contrário, você pode simplesmente monitorar os recursos do computador para obter uma dica de alta carga incomum de CPU/GPU”, disse ele. um profissional de TI aconselhou.

O Microsoft AppLocker recebeu muitos elogios neste departamento. “O AppLocker ajuda a reduzir a sobrecarga administrativa e ajuda a reduzir o custo da organização de gerenciamento de recursos de computação, diminuindo o número de chamadas de suporte técnico resultantes de usuários que executam aplicativos não aprovados”, disse ele. Microsoft explicou.

Um usuário elogiou a solução. “AppLocker é uma coisa maravilhosa. Não é apenas uma ótima linha de defesa contra malware e vírus, mas também ajuda com coisas como mineradores e outros softwares que você geralmente não executa em suas máquinas”, disse ele. disse um fã do AppLocker. “Passe algumas horas aprendendo o AppLocker. Mais alguns desenvolvendo alguns GPs de teste e pilotagem. Dependendo do tamanho e do tipo da organização, você poderá implementá-la em duas semanas e proteger sua organização de uma infinidade de ataques.”


3. Antivírus


O antivírus é um componente chave de qualquer estratégia de segurança e é essencial para impedir os criptomineradores. “Eu trabalho em um MSP e nossa solução antivírus captura mineradores de Bitcoin antes que eles sejam executados ou, se estiverem executando, irá travar e excluir os executáveis”, disse ele. um usuário disse. “Também temos monitores para utilização da CPU, portanto, se houver picos por mais de uma hora após o expediente, quando é mais provável que o usuário final minere para não extrair de seus próprios recursos enquanto trabalha, receberemos tickets. ”

Este usuário também bloqueia aplicativos. “Temos configurações de conformidade de aplicativos que monitoram todos os aplicativos instalados e em execução em cada computador e servidor em nosso ambiente. Se não estiver na lista de aprovados, ele será sinalizado e um ticket será gerado.

AV não é uma defesa perfeita. “Os antivírus tradicionais bloquearão muitos softwares de mineração, mas não todos. Há uma boa chance de que isso seja detectado pelo monitoramento/AV como um evento de segurança, mesmo que não tenha sido bloqueado”, disse ele. um usuário disse. “Em todos os servidores que monitoramos o uso da CPU, se estivesse em 100% por mais de uma hora, o NOC iria investigar.”

SANs concorda que AV é uma defesa importante, mas longe de ser perfeita. “É muito importante manter todos os softwares antivírus e antimalware atualizados. Alguns aplicativos de mineração serão detectados por software antivírus, mas esse não é o caso de todos os aplicativos que estão sendo desenvolvidos para mineração”, disse ele. SANs disseram.

Limitar privilégios também é fundamental. “Os privilégios administrativos baseados em host devem ser limitados tanto quanto possível. Se um usuário não precisar de privilégios administrativos, ele não deverá receber esse acesso. Ao limitar o acesso, os usuários não poderão instalar software (não autorizado) e não poderão realizar mineração. No entanto, um usuário pode contornar essa limitação realizando um ataque de escalonamento de privilégios”, disse ele. SANs disseram.


4. Proteção DNS


O SANs Institute sugere uma abordagem aprofundada. “A proteção e a detecção da mineração de criptomoedas devem ser feitas em todas as camadas do ambiente”, disse ele. o grupo argumentou. O bloqueio de DNS pode ser a chave para “interromper os mineradores de criptografia antes de serem lançados”. A inspeção de endereços IP e solicitações de DNS pode fornecer pistas; entretanto, é importante observar que as solicitações de DNS são feitas apenas no início de uma sessão de mineração. Com base nas aplicações de mineração de rede examinadas, a comunicação entre os clientes e o servidor ocorre ciclicamente, geralmente entre 30 a 100 segundos. A primeira coisa que ocorre é uma solicitação de DNS seguida de comunicação TCP”, disse ele. SAN disse

Bloquear domínios é algo que profissionais de TI inteligentes fazem atualmente. “Bloqueamos domínios vistos recentemente. Isso evita a maioria dos tipos de malware porque o software não será instalado ou não será executado se não conseguir alcançar o domínio em constante mudança. Na verdade, esta é uma grande ajuda não apenas para a mineração de criptografia”, disse ele. disse um leitor do Reddit.


5. Monitoramento de Sistemas e CPU


"Provavelmente a melhor e mais eficaz maneira de detectar atividades de mineração é por meio do desempenho ativo em tempo real e do monitoramento do sistema."

Profissionais de TI inteligentes já estão procurando cargas pesadas de CPU. “Monitoramos o uso e as temperaturas da CPU. Se houver uma quantidade anormal de uso da CPU ou a temperatura começar a subir mais do que o normal, isso acionará um alerta em nosso sistema de monitoramento e um técnico entrará remotamente no computador para descobrir o que está acontecendo. Na maioria das vezes, não se trata de um minerador de criptografia, mas sim de um problema com um aplicativo. Isso nos dá a capacidade de ser um pouco proativos e diagnosticar problemas um pouco mais cedo, até mesmo começar a diagnosticar antes que os usuários entrem em contato com o suporte técnico”, disse ele. disse um visitante do Reddit.

Há uma advertência. Os primeiros mineradores de criptografia consumiram toda a CPU, tornando-a basicamente inútil para o trabalho real e fácil de detectar. Novas ferramentas são mais personalizáveis. “Enquanto escrevia este artigo, foram observados e testados aplicativos que permitiam ao usuário configurar quanto trabalho o aplicativo de mineração poderia realizar”, disse ele. SANs disseram.


Como o Pulseway ajuda


Pulseway, o único RMM mobile-first, ajuda a bloquear criptomineradores de diversas maneiras:

O Pulseway monitora o uso da CPU e os administradores podem definir regras para notificar se houver picos por um determinado período de tempo. Como a criptomoeda levaria o uso da CPU a uma porcentagem alta, você pode definir uma notificação e ser alertado quando a CPU estiver alta por, digamos, 30 minutos.

Antivírus é fundamental. O Kaspersky Anti-Virus da Pulseway detecta quando você tenta abrir um site que executa um script de mineração de criptografia. E bloqueia o site!

Finalmente, o Pulseway pode usar DNS para bloquear domínios e sites associados à mineração.

Saiba mais sobre endpoint e proteção de DNS aqui.

Experimente o Pulseway hoje

Comece com alguns cliques e experimente a plataforma de gestão de TI mais poderosa do setor.

Teste gratuito de 14 dias         Não é necessário cartão de crédito
Capterra Logo
GetApp Logo
G2 Logo
Spicework Logo