De afgelopen jaren is cryptojacking uitgegroeid tot een van de ernstigste bedreigingen voor de cyberveiligheid. Cryptojacking is een cyberaanval waarbij zonder toestemming computerbronnen worden gestolen om cryptovaluta te minen. Ongereguleerde mining kan een enorme financiële last vormen voor de financiële sector, die enorme verliezen rapporteert, en organisaties krijgen te maken met hogere operationele kosten als gevolg van beschadigde hardware en een hoger energieverbruik.
In deze blog bespreken we wat cryptojacking is en wat enkele cryptojacking-aanvalstechnieken, detectiemechanismen en verdedigingsstrategieën zijn. We bespreken ook hoe aanvallers mining-malware verspreiden met behulp van een reeks aanvalsvectoren, waaronder de meest voorkomende indicatoren van compromittering, en schetsen de beste manieren om u tegen dergelijke bedreigingen te beschermen.
Wat is cryptojacking?
Cryptojacking is het kapen van computerapparatuur om cryptovaluta te minen. Bij dit proces plaatsen aanvallers malware om het beoogde apparaat ingewikkelde wiskundige berekeningen te laten uitvoeren die nodig zijn voor het delven van cryptovaluta. Delven verwijst naar het proces waarbij cryptovalutatransacties worden geverifieerd en geregistreerd op de blockchain.
Delven vereist veel rekenkracht. Cryptojackers kapen een systeem en gebruiken de CPU en GPU ervan voor mining. Ze richten zich meestal op cryptovaluta's die nog steeds winstgevend zijn met behulp van gewone computerhardware, zoals Monero (omdat het miningalgoritme ervan geschikt is voor CPU's).
Waarom is cryptojacking zo gevaarlijk?
Cryptojacking kan zeer ernstige gevolgen hebben voor organisaties, omdat het lange tijd op grote schaal kan plaatsvinden zonder dat het wordt opgemerkt en enorme schade kan veroorzaken. Het heeft een directe invloed op de prestaties van het systeem, omdat het CPU-bronnen gebruikt voor mining. Dit gebruik kan de hardware aantasten, met name in systemen die 24/7 op of bijna op volle capaciteit draaien.
Deze dreiging is groter dan alleen de impact op afzonderlijke apparaten. Cryptojacking-malware heeft meestal wormachtige kenmerken, waardoor het zich door netwerken verspreidt. De malware zoekt vervolgens naar andere kwetsbare systemen binnen het netwerk en bouwt een netwerk van mining-knooppunten op. Dergelijk gedrag vergroot het aanvalsoppervlak en bemoeilijkt het verwijderingsproces.
Gevolgen van cryptojacking
Cryptojacking heeft een niet-lineaire financiële impact. Meerdere systemen die op maximale capaciteit draaien, leiden tot een piek in de elektriciteitskosten voor organisaties. Voortdurende slijtage leidt tot kosten voor vervanging van hardware. Dit kan resulteren in slechte prestaties, maar ook in een aanzienlijk tijdverlies bij het inzetten van deze diensten en een verhoogde kans op storingen. De zakelijke gevolgen omvatten ook het volgende:
- Overtreding van de regelgeving door het uitvoeren van ongeautoriseerde code
- Risico op juridische aansprakelijkheid voor ongeautoriseerde miningactiviteiten
Ook de ecologische voetafdruk is aanzienlijk. Wanneer deze aanvallers zich richten op datacenters of cloudinfrastructuur, worden de cryptojacking-operaties grootschalig, wat het energieverbruik en de CO2-uitstoot aanzienlijk verhoogt.
Veelvoorkomende symptomen van cryptojacking
Systeembeheerders kunnen cryptojacking herkennen aan een aantal veelvoorkomende symptomen. Zelfs in een inactieve toestand, wanneer er geen gebruikersapps worden uitgevoerd, blijft het CPU-gebruik hoog. Onbekende processen die veel bronnen gebruiken, zijn zichtbaar in Taakbeheer of een systeemmonitoringtool.
Dit soort patronen wordt meestal aan het licht gebracht door netwerkmonitoring. De geïnfecteerde systemen hebben voortdurend uitgaande verbindingen met de miningpool of de command- en controleservers (C2). Deze links maken doorgaans gebruik van gerichte methoden die relevant zijn voor miningprotocollen die beveiligingsteams moeten identificeren.
Getroffen hardware vertoont fysieke symptomen. De systemen worden warm en de koelventilatoren draaien op volle snelheid. Als het apparaat op batterijen werkt, gaat de batterij veel minder lang mee. In extreme gevallen leidt dit ertoe dat de systemen crashen of uitvallen vanwege thermische beveiliging.
Cryptojacking via de browser heeft bepaalde indicatoren. Zelfs als er maar een paar tabbladen zijn geopend, gebruiken webbrowsers de CPU-bronnen maximaal. De prestatievermindering houdt aan totdat de betreffende browsertabbladen worden gesloten.
Soorten cryptojacking-aanvallen
Hoewel cryptojacking de afgelopen jaren veel aandacht heeft gekregen, is dit type aanval verre van uniform van aard. Er worden verschillende methoden gebruikt om systemen te infiltreren en cryptovaluta te minen. Deze soorten aanvallen verschillen in de manier waarop ze worden uitgevoerd, de manier waarop ze volharden en de mate van impact.
1. Browsergebaseerde cryptojacking
Browsergebaseerde cryptojacking houdt in dat er miningcode is geïmplementeerd in webbrowsers, mogelijk als gevolg van hackers die de controle over websites hebben overgenomen. JavaScript-miners starten automatisch wanneer gebruikers geïnfecteerde sites bezoeken en downloaden geen bestanden naar het systeem; de gebruiker wordt dus niet gewaarschuwd.
2. Binaire cryptojacking
Bij binaire aanvallen leveren de aanvallers kwaadaardige uitvoerbare bestanden aan de doelsystemen. Deze miners werken als een onafhankelijk proces dat (meestal) vermomd is als een legitieme systeemservice. Ze blijven aanwezig na het opnieuw opstarten van het systeem en zijn vaak efficiënter dan browsergebaseerde miners, omdat ze rechtstreeks toegang hebben tot de hardware.
3. Cryptojacking in de toeleveringsketen
Cryptojacking in de toeleveringsketen kaapt authentieke softwaredistributiekanalen om in plaats daarvan mining-malware te verspreiden. Een aanvaller voegt mining-code toe aan softwarepakketten, updates of afhankelijkheden. De mining-componenten worden automatisch geïmplementeerd samen met een digitale handtekening wanneer gebruikers de betreffende software installeren of updaten.
4. Fileless cryptojacking
Fileless cryptojacking maakt gebruik van het hele proces in het systeemgeheugen in plaats van naar de schijf te schrijven. Bij deze aanvallen worden PowerShell-scripts of andere native Windows-tools gebruikt om miningcode te downloaden en uit te voeren. Detectie wordt moeilijker door de afwezigheid van schijfarmefacten.
5. Cryptojacking van cloudinfrastructuur
Aanvallen vinden plaats op cloudinfrastructuur en zijn gericht op verkeerd geconfigureerde cloudresources en containers. In cloudinstanties wordt de miner geïmplementeerd via het aanvalsoppervlak dat wordt geboden door blootgestelde beheerinterfaces of via onjuist geconfigureerde zwakke inloggegevens. Dergelijke aanvallen kunnen snel in omvang toenemen door extra cloudresources toe te wijzen met behulp van anderszins legitieme accountgegevens die zijn gecompromitteerd.
Hoe werken cryptojacking-aanvallen?
Bij cryptojacking gebruiken aanvallers verschillende technische stappen om een actie uit te voeren waarmee ze miningcode kunnen inzetten en persistent kunnen blijven. Hoewel elke techniek verschillende aanvalsvectoren en verschillende manieren van exploitatie heeft, hebben ze allemaal in wezen een vergelijkbare aanpak, namelijk detectie vermijden door de miningprestaties te maximaliseren.
Browsergebaseerde injectietechnieken
De eerste stap bij browsergebaseerde cryptojacking is het compromitteren van legitieme websites. Bij domeincrawler-aanvallen embedden hackers mining-JavaScript-code in webpagina's via kwetsbare plug-ins, verouderde contentmanagementsystemen of gecompromitteerde bibliotheken van derden. Wanneer deze code wordt uitgevoerd in de browser van een bezoeker, maakt deze verbinding met miningpools via WebSocket-verbindingen en begint met mining. Deze scripts zijn vaak gebouwd met throttling-lagen om ze minder zichtbaar te maken en maken gebruik van domeinverificatie om code-duplicatie te voorkomen.
Binaire aanvallen
Binaire aanvallen beginnen met een eerste compromittering van het systeem via phishing, exploits of kwaadaardige downloads. Ze plaatsen uitvoerbare miningbestanden en ondersteunende bestanden in verschillende systeemmappen. Deze bevatten informatie over miningpoolconfiguraties, walletadressen en CPU-gebruik. Persistentie wordt bereikt door registersleutels toe te voegen, taken in te plannen of een service te installeren.
Methoden voor het compromitteren van de toeleveringsketen
Dit type aanval is gericht op softwarebuildsystemen, updateservers of pakketrepositories. De miningcomponenten worden door de aanvaller toegevoegd aan de broncode of buildscripts. Deze pakketten behouden hun oorspronkelijke doel en voeren in plaats daarvan mining uit op de achtergrond. Aanvallers hebben herhaaldelijk legitiem verkregen codesigningscertificaten van gerenommeerde leveranciers gebruikt om detectie of beveiligingscontroles te omzeilen. De miningcode wordt uitgevoerd na de normale installatieprocedure.
Fileless malware-aanpak
Fileless cryptojacking voert miningcode rechtstreeks in het geheugen uit, met behulp van systeemtools zoals PowerShell of Windows Management Instrumentation (WMI). Dergelijke compromitteringen vinden doorgaans plaats via kwaadaardige scripts of macro's. Deze scripts downloaden door de command server versleutelde miningconfiguraties en decoderen deze in het geheugen. De aanval zorgt voor persistentie via WMI-gebeurtenisabonnementen of registeruitvoersleutels die de miningcode opnieuw laden nadat het apparaat opnieuw is opgestart.
Veelgebruikte technieken voor het detecteren van cryptojacking
Voor het detecteren van cryptojacking-aanvallen is het nodig om verschillende systeemcomponenten te monitoren en een verscheidenheid aan technische indicatoren te analyseren. Om mining-activiteiten in hun infrastructuur echt te kunnen identificeren, hebben organisaties een gelaagde aanpak nodig.
1. Systeemprestatie-indicatoren
Het begint allemaal met het monitoren van het CPU- en GPU-gebruik om de aanwezigheid van cryptojacking te onderzoeken. Tools zoals het monitoren van het activiteitenniveau van de processor en het detecteren van aanhoudend hoog gebruik buiten de grenzen van normale activiteit, zullen doorgaans een waarschuwing activeren. Temperatuursensoren geven informatie over vreemd temperatuurgedrag. Applicatiemonitoring toont resource-intensieve applicaties die vanaf ongepaste locaties worden uitgevoerd.
2. Netwerkverkeeranalyse
Het tweede type detectie, netwerkgebaseerde detectie, besteedt meer aandacht aan de communicatie via de miningpool. Verbindingen met bekende miningpool-domeinen en buitenlandse IP-adressen zijn aan het licht gekomen door middel van diepgaande pakketinspectie. Als tools voor verkeersanalyse consistente gegevenspatronen zien die overeenkomen met miningprotocollen, wijst dit erop dat er iets mis is. Het detecteert SSL/TLS-gecodeerde verbindingen met miningdiensten.
3. Memory Forensics-benaderingen
Geheugenanalysetools maken een momentopname van het geheugen om te analyseren wat er in de code met de handtekeningen gebeurt. Ze worden gebruikt om injectietechnieken voor minerprocessen te detecteren. Geheugenscanners identificeren cryptocurrency-walletadressen en miningpool-URL's in het procesgeheugen. Door de runtime te analyseren, kunnen bepaalde codepatronen worden gevonden die overeenkomen met de bekende miningalgoritmen.
4. PowerShell-activiteitenmonitoring
PowerShell-monitoring betekent het monitoren van detectie van bestandsloze mining. Beveiligingstools loggen en analyseren de uitvoering van PowerShell-opdrachten. Cryptocurrency-miningcommando's en configuratie in scriptbloklogging. Modulelogging registreert het gebruik van PowerShell-modules bij mining. Transcriptielogging legt volledige sessiedetails vast voor forensische analyse van PowerShell-sessies.
5. Analyse van browsergedrag
Browserbewakingstools controleren automatisch of een browser mining uitvoert met behulp van JavaScript. Extensieanalysatoren detecteren miningcodes in browserextensies. Er worden monitors op webpagina's geplaatst om te controleren of JavaScript wordt uitgevoerd om munten te minen. WebSocket-verbindingen met miningdiensten worden opgepikt door netwerkverzoekanalysatoren.
Best practices voor bescherming tegen cryptojacking
Om cryptojacking te voorkomen, is een combinatie van beveiligingsmaatregelen en verschillende operationele procedures nodig. Deze praktijken vormen een verdedigingslinie die een eerste inbreuk en pogingen tot mining kan voorkomen.
1. Beveiligingsconfiguratie van de browser
Het begint met het configureren van een aantal beveiligingsinstellingen in de browser om te voorkomen dat JavaScript bepaalde functies uitvoert. Beveiligingsteams zien dit en gebruiken scriptblokkerende extensies die alle actieve miningcode blokkeren. Miningdomeinen worden geblokkeerd met Content Security Policies. WebAssembly-uitvoering kan in onbetrouwbare contexten worden uitgeschakeld via browserbeleid. Browserupdates verhelpen regelmatig kwetsbaarheden die het injecteren van miningcode mogelijk maken.
2. Implementatie van netwerkmonitoring
Om het netwerk te verdedigen, moeten organisaties monitoringtools inzetten op relevante punten van hun infrastructuur. Handtekeningen worden gebruikt door Intrusion Detection Systems om miningpoolverkeer te herkennen. Mining-malware die zich lateraal verplaatst, wordt geblokkeerd door netwerksegmentatie. DNS-filtering voorkomt verbindingen van het doelwit naar domeinen die zijn geïdentificeerd als miningpools. Ongebruikelijke verkeerspatronen van gekaapte systemen worden gedetecteerd door bandbreedtebewaking.
3. Endpoint Protection Setup
Beveiligingstools voor eindpunten helpen bescherming te bieden tegen mining-malware. Whitelisting van applicaties helpt om ongeautoriseerde miners te blokkeren. Als een miningproces wordt gedetecteerd, wordt het proces beëindigd of verwijderd, waardoor het niet in staat is om zelfstandig kwaadaardige piggybacking uit te voeren. Waarschuwingen voor resourcegebruik identificeren systeemactiviteiten die verdacht lijken. Ongeautoriseerde wijzigingen aan een systeem worden bijgehouden door middel van bestandsintegriteitscontrole. Geheugenbescherming belemmert code-injectiemethoden die miners gebruiken.
4. Vereisten voor beveiligingsbewustzijn
Cryptojacking-bedreigingen moeten worden behandeld in programma's voor beveiligingsbewustzijn om gebruikers voor te lichten. De training omvat het herkennen van vreemd gedrag in het systeem. Medewerkers moeten worden getraind in het veilig downloaden en uitvoeren van software van internet. Dankzij het incidentrapportageproces kunnen organisaties snel reageren op vermoedelijke infecties.
5. Strategieën voor patchbeheer
Strategieën voor patchbeheer beschermen systemen tegen misbruik van bekende kwetsbaarheden. Beveiligingsteams moeten geplande updates beschikbaar hebben voor alle systemen. Dit kan ervoor zorgen dat organisaties op tijd bescherming krijgen door middel van geautomatiseerde patchimplementatie. Het identificeren van niet-gepatchte systemen en het scannen van de patchstatus op kwetsbaarheden in de hele infrastructuur wordt bijgehouden door configuratiebeheer.
AI-gestuurde cyberbeveiliging
Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.
Vraag een demo aanConclusie
Cryptojacking is een voortdurende cyberbeveiligingsdreiging die steeds complexer en groter wordt. Behalve dat ze computerbronnen uitputten, brengen dergelijke aanvallen ook zware financiële verliezen met zich mee als gevolg van hogere operationele kosten, schade aan hardware en boetes voor overtredingen van regelgeving die waarschijnlijk zullen plaatsvinden. Het is een uitdaging voor organisaties om miners op te sporen en te stoppen, aangezien zij tegenwoordig gebruikmaken van ontwijkingstechnieken die met de dag geavanceerder worden.
Bedrijven zijn bereid om oplossingen te zoeken die passen bij de kosten voor snelle detectie en respons met hun cloudbeveiligingsbeleid, waardoor ze bescherming bieden tegen cryptojacking. Door kennis van deze aanvalsvectoren, browsergebaseerde injecties, fileless malware, enz. kan de organisatie de juiste verdedigingsmaatregelen nemen. Een solide verdedigingsstrategie tegen cryptojacking bestaat uit systeemmonitoring, netwerkanalyse en bewustwording van medewerkers.
Veelgestelde vragen over cryptojacking
Cryptojacking is een aanval waarbij aanvallers stilletjes de rekenkracht van hun doelwitten gebruiken om cryptovaluta te minen. Deze aanval levert miningcode op een van de volgende drie manieren: een browserscript, kwaadaardig uitvoerbaar bestand of bestandsloze malware om zonder uw toestemming cryptovaluta te minen.
Cryptojacking heeft onder meer tot gevolg dat de elektriciteitsrekening stijgt, hardware door overmatig gebruik beschadigd kan raken en de snelheid van het systeem afneemt. Organisaties hebben ook te maken met productiviteitsverlies, het risico dat ze niet aan diverse regelgeving voldoen en extra kosten voor beveiliging tegen detectoren en herstelmaatregelen.
Cryptojacking verhoogt het totale vermogen van cryptocurrency-netwerken zonder dat er echt investeringskapitaal wordt gebruikt, wat gevolgen heeft voor de cryptocurrency-markten. Dergelijke ongeoorloofde mining heeft ook invloed op de moeilijkheidsgraad van cryptocurrency-mining en kan de marktdynamiek van CPU-mineable cryptocurrencies beïnvloeden.
Het verwijderen van cryptojacking-malware omvat het opsporen en beëindigen van actieve miningprocessen, het verwijderen van schadelijke bestanden en het elimineren van persistentiemechanismen. Gebruik beveiligingsoplossingen om systemen te scannen, infecties te verwijderen en door middel van onderzoek te controleren of ze zijn verwijderd.
Veel detectie kan worden gedaan door het CPU-gebruik te monitoren, uitgaande netwerkverbindingen naar mining pools te monitoren en te scannen op codesignaturen van miner-malware. Beveiligingstools kunnen verdachte processen, abnormaal netwerkverkeer en ongeoorloofd gebruik van bronnen detecteren.
De belangrijkste misdaad die verband houdt met cryptojacking is het overtreden van de wetten inzake computertoegang, wat leidt tot strafrechtelijke vervolging. Organisaties die onbewust cryptojacking-code uitvoeren, kunnen in strijd handelen met de regelgeving en kunnen wettelijk aansprakelijk worden gesteld voor het uitvoeren van ongeoorloofde mining-activiteiten.
