Ces dernières années, le cryptojacking s'est révélé être l'une des menaces les plus graves pour la cybersécurité. Le cryptojacking est une cyberattaque qui consiste à voler des ressources informatiques pour miner des cryptomonnaies sans autorisation. Les sites de minage non réglementés peuvent représenter une charge financière considérable pour le secteur financier, qui subit des pertes massives, et les organisations doivent faire face à des coûts opérationnels plus élevés en raison des dommages matériels et de l'augmentation de la consommation d'énergie.
Dans cet article, nous aborderons ce qu'est le cryptojacking, ainsi que certaines techniques d'attaque, mécanismes de détection et stratégies de défense. Nous aborderons également la manière dont les pirates propagent les logiciels malveillants de minage à l'aide d'une série de vecteurs d'attaque, y compris les indicateurs de compromission les plus courants, et nous présenterons les meilleurs moyens de se protéger contre ces menaces.lt;/p>
Qu'est-ce que le cryptojacking ?
Le cryptojacking consiste à détourner des appareils informatiques pour miner des cryptomonnaies. Au cours de ce processus, les pirates insèrent un logiciel malveillant afin que l'appareil ciblé effectue les calculs mathématiques complexes nécessaires au minage de cryptomonnaies. Le minage désigne le processus par lequel les transactions en cryptomonnaies sont vérifiées et enregistrées sur la blockchain.
Le minage nécessite une grande puissance de calcul. Les cryptojackers détournent un système et utilisent son processeur et sa carte graphique pour miner. Ils se concentrent généralement sur les cryptomonnaies qui offrent encore des rendements intéressants avec du matériel informatique classique, comme le Monero (dont l'algorithme de minage est adapté aux processeurs).
Pourquoi le cryptojacking est-il si dangereux ?
Le cryptojacking peut être très grave pour les organisations, car il peut fonctionner à grande échelle pendant longtemps sans être détecté et causer des dommages considérables. Il affecte directement les performances du système, car il utilise les ressources du processeur pour le minage. Cette utilisation peut dégrader le matériel, en particulier dans les systèmes qui fonctionnent 24 heures sur 24, 7 jours sur 7, à pleine capacité ou presque.
Cette menace va au-delà de l'impact sur des appareils individuels. Les logiciels malveillants de cryptojacking sont généralement dotés de caractéristiques similaires à celles des vers, ce qui leur permet de se propager à travers les réseaux. Le logiciel malveillant recherche ensuite d'autres systèmes vulnérables au sein du réseau et construit un réseau de nœuds de minage. Ce comportement élargit la surface d'attaque et complique le processus de suppression.
Impact du cryptojacking
Le cryptojacking a un impact financier non linéaire. Le fonctionnement à pleine capacité de plusieurs systèmes entraîne une forte augmentation des coûts d'électricité pour les organisations. L'usure continue entraîne des coûts de remplacement du matériel. Cela peut se traduire par une baisse des performances, mais aussi par une perte de temps importante dans le déploiement de ces services et un risque accru de pannes. Les répercussions sur les entreprises comprennent également les éléments suivants :
- Non-respect de la conformité réglementaire en raison de l'exécution de code non autorisé
- Risque d'exposition à une responsabilité juridique pour des activités minières non autorisées
L'empreinte environnementale est également notable. Lorsque ces attaquants ciblent des centres de données ou des infrastructures cloud, les opérations de cryptojacking qui en résultent prennent une ampleur considérable, entraînant une augmentation significative de la consommation d'énergie et des émissions de carbone.
Symptômes courants du cryptojacking
Les administrateurs système peuvent détecter le cryptojacking à l'aide de quelques indices courants. Même en état de veille, lorsqu'aucune application utilisateur n'est en cours d'exécution, l'utilisation élevée du processeur persiste. Des processus inconnus utilisant beaucoup de ressources sont visibles dans le Gestionnaire des tâches ou dans un outil de surveillance du système.
Ce type de schéma est généralement révélé par la surveillance du réseau. Les systèmes infectés ont des connexions sortantes continues vers le pool de minage ou les serveurs de commande et de contrôle (C2). Ces liens utilisent généralement des méthodes ciblées qui sont pertinentes pour les protocoles de minage que les équipes de sécurité doivent identifier.
Le matériel affecté présente des symptômes physiques. Les systèmes chauffent et les ventilateurs de refroidissement tournent à plein régime. Si l'appareil fonctionne sur batterie, son autonomie est considérablement réduite. Dans les cas extrêmes, cela provoque le plantage des systèmes ou leur mise en veille thermique.
Le cryptojacking via le navigateur présente certains indicateurs. Même avec seulement quelques onglets ouverts, les navigateurs Web utilisent au maximum les ressources du processeur. La dégradation des performances se poursuit jusqu'à la fermeture des onglets du navigateur concernés.
Types d'attaques de cryptojacking
Si le cryptojacking a beaucoup attiré l'attention ces dernières années, ce type d'attaque est loin d'être monolithique, utilisant diverses méthodologies pour infiltrer les systèmes et miner des cryptomonnaies. Ces types d'attaques diffèrent par leur mode de déploiement, leur persistance et leur niveau d'impact.
1. Cryptojacking basé sur le navigateur
Le cryptojacking basé sur un navigateur implique que le code de minage a été implémenté dans les navigateurs web, probablement à la suite de la prise de contrôle de sites web par des hackers. Les mineurs JavaScript se lancent automatiquement lorsque les utilisateurs visitent des sites infectés et ne téléchargent pas de fichiers sur le système ; ainsi, l'utilisateur n'est pas alerté.
2. Cryptojacking basé sur des fichiers binaires
Dans les attaques basées sur des fichiers binaires, les attaquants livrent des fichiers exécutables malveillants aux systèmes cibles. Ces mineurs fonctionnent comme un processus indépendant qui est (généralement) déguisé en service système légitime. Ils restent actifs même après le redémarrage du système et sont souvent plus efficaces que ceux basés sur un navigateur, car ils peuvent accéder directement au matériel.
3. Cryptojacking de la chaîne d'approvisionnement
Le cryptojacking de la chaîne d'approvisionnement détourne les canaux de distribution de logiciels authentiques pour diffuser à la place des logiciels malveillants de minage. Un pirate ajoute du code de minage à des progiciels, des mises à jour ou des dépendances. Les composants de minage se déploient automatiquement avec une signature numérique chaque fois que les utilisateurs installent ou mettent à jour le logiciel concerné.
4. Cryptojacking sans fichier
Le cryptojacking sans fichier utilise l'ensemble du processus dans la mémoire système au lieu d'écrire sur le disque. Dans ces attaques, des scripts PowerShell ou d'autres outils Windows natifs sont utilisés pour télécharger et exécuter le code de minage. La détection devient plus difficile en raison de l'absence d'artefacts sur le disque.
5. Cryptojacking de l'infrastructure cloud
Les attaques visent l'infrastructure cloud et ciblent les ressources et les conteneurs cloud mal configurés. Dans les instances cloud, le déploiement des mineurs s'effectue soit via la surface d'attaque présentée par les interfaces de gestion exposées, soit via des identifiants faibles mal configurés. Ces attaques peuvent rapidement prendre de l'ampleur en provisionnant des ressources cloud supplémentaires à l'aide d'identifiants de compte légitimes qui ont été compromis.
Comment fonctionnent les attaques de cryptojacking ?
Dans le cadre du cryptojacking, les attaquants utilisent diverses étapes techniques pour mener à bien une action leur permettant de déployer un code de minage et de rester persistants. Bien que chaque technique ait des vecteurs d'attaque et des modes d'exploitation différents, toutes ont essentiellement des approches similaires, qui consistent à éviter la détection en maximisant les performances de minage.
Techniques d'injection basées sur le navigateur
La première étape du cryptojacking basé sur le navigateur consiste à compromettre des sites web légitimes. Dans les attaques par crawler de domaine, les pirates intègrent du code JavaScript de minage dans des pages web via des plugins vulnérables, des systèmes de gestion de contenu obsolètes ou des bibliothèques tierces compromises. Lorsque ce code est exécuté dans le navigateur d'un visiteur, il se connecte à des pools de minage via des connexions WebSocket et commence le minage. Ces scripts sont souvent conçus avec des couches de limitation afin de les rendre moins visibles et utilisent la vérification de domaine pour éviter la duplication de code.
Attaques binaires
Les attaques binaires commencent par une compromission initiale du système via le phishing, des exploits ou des téléchargements malveillants. Elles déposent des exécutables de minage et des fichiers de support dans plusieurs dossiers système. Ceux-ci contiennent des informations concernant les configurations des pools de minage, les adresses de portefeuille et l'utilisation du processeur. La persistance est obtenue en ajoutant des clés de registre, en planifiant des tâches ou en installant un service.
Méthodes de compromission de la chaîne d'approvisionnement
Ce type d'attaque vise les systèmes de compilation de logiciels, les serveurs de mise à jour ou les référentiels de paquets. Les composants de minage sont ajoutés au code source ou aux scripts de compilation par l'attaquant. Ces paquets conservent leur fonction initiale et exécutent le minage en arrière-plan. Les attaquants ont utilisé à plusieurs reprises des certificats de signature de code acquis légalement auprès de fournisseurs réputés pour échapper à la détection ou aux contrôles de sécurité. Le code de minage s'exécute après la séquence d'installation normale.
Approches des logiciels malveillants sans fichier
Le cryptojacking sans fichier exécute le code de minage directement en mémoire, à l'aide d'outils système tels que PowerShell ou Windows Management Instrumentation (WMI). Ces compromissions se produisent généralement via des scripts ou des macros malveillants. Ces scripts téléchargent des configurations de minage cryptées par le serveur de commande et les décodent en mémoire. L'attaque établit sa persistance via des abonnements à des événements WMI ou des clés d'exécution du registre qui rechargent le code de minage après le redémarrage de l'appareil.
Techniques courantes de détection du cryptojacking
La détection des attaques de cryptojacking nécessite la surveillance de divers composants du système et l'analyse d'une série d'indicateurs techniques. Pour identifier véritablement les activités de minage dans leur infrastructure, les organisations doivent adopter une approche multicouche.
1. Indicateurs de performance du système
Tout commence par la surveillance de l'utilisation du CPU et du GPU afin de détecter la présence de cryptojacking. Des outils tels que la surveillance du niveau d'activité du processeur et la détection d'une utilisation élevée et soutenue en dehors des limites de l'activité normale déclenchent généralement une alerte. Les capteurs de température fournissent des informations sur les comportements thermiques inhabituels. La surveillance des applications permet de détecter les applications gourmandes en ressources qui s'exécutent à partir d'emplacements inappropriés.
2. Analyse du trafic réseau
Le deuxième type de détection, la détection basée sur le réseau, accorde davantage d'attention aux communications sur le pool de minage. Les connexions à des domaines de pools de minage connus et à des adresses IP étrangères ont été révélées grâce à une inspection approfondie des paquets. Si les outils d'analyse du trafic détectent des modèles de données cohérents qui correspondent aux protocoles de minage, cela indique qu'il y a un problème. Ils détectent les connexions cryptées SSL/TLS aux services de minage.
3. Approches d'analyse mémoire
Les outils d'analyse mémoire prennent un instantané de la mémoire pour analyser ce qui se passe dans le code à l'aide de signatures. Ils sont utilisés pour détecter les techniques d'injection de processus de minage. Les scanners de mémoire identifient les adresses de portefeuilles de cryptomonnaies et les URL de pools de minage dans la mémoire des processus. En analysant le temps d'exécution, ils peuvent trouver certains modèles de code qui commencent à correspondre aux algorithmes de minage connus.
4. Surveillance de l'activité PowerShell
La surveillance PowerShell consiste à surveiller la détection du minage sans fichier. Les outils de sécurité enregistrent et analysent les exécutions de commandes PowerShell. Commandes de minage de cryptomonnaie et configuration dans la journalisation des blocs de script. La journalisation des modules enregistre l'utilisation des modules PowerShell pour le minage. La journalisation des transcriptions capture les détails complets de la session pour l'analyse forensic des sessions PowerShell.
5. Analyse du comportement du navigateur
Les outils de surveillance du navigateur surveillent automatiquement si un navigateur effectue du minage à l'aide de JavaScript. Les analyseurs d'extensions détectent les codes de minage dans les extensions du navigateur. Des moniteurs sont placés sur les pages web pour surveiller l'exécution de JavaScript à des fins de minage de cryptomonnaies. Les connexions WebSocket aux services de minage sont détectées par des analyseurs de requêtes réseau.
Meilleures pratiques pour se protéger contre le cryptojacking
La prévention des systèmes de cryptojacking nécessite une combinaison de contrôles de sécurité et de diverses procédures opérationnelles. Ces pratiques permettent de mettre en place des couches de défense qui peuvent empêcher une compromission initiale et les tentatives de minage.
1. Configuration de la sécurité du navigateur
La première étape consiste à configurer certains paramètres de sécurité dans le navigateur afin d'empêcher JavaScript d'exécuter certaines fonctions. Les équipes de sécurité utilisent des extensions de blocage de scripts qui empêchent l'exécution de tout code de minage actif. Les domaines de minage sont bloqués à l'aide de politiques de sécurité du contenu. L'exécution de WebAssembly peut être désactivée dans des contextes non fiables via les politiques du navigateur. Les mises à jour régulières du navigateur corrigent les vulnérabilités qui permettent l'injection de code de minage.
2. Mise en œuvre de la surveillance du réseau
Pour défendre le réseau, les organisations doivent déployer des outils de surveillance aux points pertinents de leur infrastructure. Les signatures sont utilisées par les systèmes de détection d'intrusion pour reconnaître le trafic des pools de minage. Les logiciels malveillants de minage qui se déplacent latéralement sont quant à eux bloqués par la segmentation du réseau. Le filtrage DNS empêche les connexions de la cible vers les domaines identifiés comme des pools de minage. Les modèles de trafic inhabituels provenant de systèmes piratés sont détectés par la surveillance de la bande passante.
3. Configuration de la protection des terminaux
Les outils de sécurité des terminaux contribuent à assurer la protection contre les logiciels malveillants de minage. La liste blanche des applications permet de bloquer l'exécution des mineurs non autorisés. Si un processus de minage est détecté, il sera soit interrompu, soit supprimé, et il ne pourra plus effectuer de piggybacking malveillant de lui-même. Les alertes d'utilisation des ressources identifient les activités du système qui semblent suspectes. Les modifications non autorisées apportées à un système sont suivies par la surveillance de l'intégrité des fichiers. La protection de la mémoire empêche les méthodes d'injection de code utilisées par les mineurs.
4. Exigences en matière de sensibilisation à la sécurité
Les menaces de cryptojacking doivent être abordées dans les programmes de sensibilisation à la sécurité afin d'éduquer les utilisateurs. La formation comprend la détection de comportements étranges dans le système. Les employés doivent être formés à la manière de télécharger et d'exécuter en toute sécurité les logiciels provenant d'Internet. Le processus de signalement des incidents permet aux organisations de réagir rapidement aux infections suspectées.
5. Stratégies de gestion des correctifs
Les stratégies de gestion des correctifs protègent les systèmes contre l'exploitation des vulnérabilités connues. Les équipes de sécurité doivent disposer de mises à jour programmées pour tous les systèmes. Cela permet de garantir que les organisations bénéficient d'une couverture en temps voulu grâce au déploiement automatisé des correctifs. L'identification des systèmes non corrigés et l'analyse des vulnérabilités à l'échelle de l'infrastructure sont suivies par la gestion de la configuration.
Cybersécurité alimentée par l'IA
Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.
Obtenir une démonstrationConclusion
Le cryptojacking est une menace permanente pour la cybersécuritéqui ne cesse d'évoluer en termes de complexité et d'ampleur. Outre l'épuisement des ressources informatiques, ces attaques entraînent également de lourdes pertes financières en raison de l'augmentation des coûts opérationnels, des dommages matériels et des amendes pour toute violation des réglementations susceptible de se produire. Il est difficile pour les organisations de détecter et d'arrêter les mineurs, car ceux-ci utilisent désormais des techniques d'évasion qui deviennent chaque jour plus sophistiquées.
Les entreprises sont prêtes à mettre en place des solutions adaptées à leurs coûts pour une détection et une réponse rapides grâce à leur posture de sécurité cloud, offrant une protection contre le cryptojacking. La connaissance de ces vecteurs d'attaque, des injections basées sur les navigateurs, des malwares sans fichier, etc., permet à l'organisation de déployer les défenses appropriées. Une stratégie de défense solide contre le cryptojacking comprendra la surveillance du système, l'analyse du réseau et la sensibilisation des employés.
FAQ sur le cryptojacking
Le cryptojacking est une attaque dans laquelle les pirates utilisent silencieusement la puissance de calcul de leurs cibles pour miner des cryptomonnaies. Cette attaque diffuse un code de minage de trois manières différentes : un script de navigateur, un exécutable malveillant ou un logiciel malveillant sans fichier afin de miner des cryptomonnaies sans votre autorisation.
Les effets du cryptojacking comprennent une augmentation des factures d'électricité, des dommages potentiels au matériel dus à une utilisation excessive et une diminution de la vitesse des performances du système. Les organisations subissent également une perte de productivité, risquent de ne pas se conformer à diverses réglementations et encourent des coûts supplémentaires pour la sécurité contre les détecteurs et la remédiation.
Les opérations de cryptojacking augmentent le taux global de puissance de minage sur les réseaux de cryptomonnaies sans utiliser de véritables capitaux d'investissement, ce qui a un impact sur les marchés des cryptomonnaies. Ce minage non autorisé affecte également les taux de difficulté du minage de cryptomonnaies et peut influencer la dynamique du marché des cryptomonnaies minables par CPU.
Le processus de suppression des logiciels malveillants de cryptojacking consiste à localiser et à tuer les processus de minage en cours, à supprimer les fichiers malveillants et à éliminer les mécanismes de persistance. Utilisez des solutions de sécurité pour analyser les systèmes, nettoyer les infections et vérifier qu'elles ont bien été supprimées.
La plupart des détections peuvent être effectuées en surveillant l'utilisation du processeur, en surveillant les connexions réseau sortantes vers les pools de minage et en recherchant les signatures de code des logiciels malveillants de minage. Les outils de sécurité sont capables de détecter les processus suspects, le trafic réseau anormal et l'utilisation non autorisée des ressources.
Le principal délit associé au cryptojacking est la violation des lois sur l'accès aux ordinateurs, qui entraîne des poursuites pénales. Les organisations qui exécutent à leur insu un code de cryptojacking peuvent enfreindre la conformité réglementaire et se retrouver légalement responsables d'avoir mené des opérations non autorisées dans le domaine du minage.
