Икс холдинг

Безобидная подработка или реальная угроза?

С одной стороны, майнинг нельзя воспринимать как прямую угрозу информационной безопасности предприятия, как непросто и привлечь к ответственности и самих майнеров. ПО для майнинга криптовалют не наносит серьезного вреда ИКТ-инфраструктуре – это не вирусы, кибератаки или хищение данных. Для майнинга требуется лишь мощное оборудование и электроэнергия. С другой стороны, финансовые потери компании будут существенными:

  • Эксплуатационные затраты на оборудование и ресурсы – нецелевое потребление мощностей и расход электроэнергии в нерабочее время.
  • Заработная плата сотрудника, который не выполняет свои рабочие функции, занимаясь майнингом криптовалют.
  • Техническое обслуживание и ремонт оборудования, которое чаще выходит из строя из-за непрерывной работы.

Обладая экспертизой в обеспечении безопасности сетевой инфраструктуры, компания «Гарда Технологии» разработала решение для выявления майнеров в сети предприятия. Функциональные возможности реализованы на базе АПК «Гарда Монитор» – системы выявления и расследования сетевых инцидентов.

Сетевая форензика в расследовании майнинга

«Гарда Монитор» собирает и записывает данные обо всех ip-соединениях, выявляет различные признаки вредоносного ПО и подозрительной активности в сетевом трафике. Решение позволяет обнаружить даже те инциденты в сети, которые прошли мимо активных систем безопасности. Комплекс нередко используется крупными предприятиями как «система последнего шанса», когда инцидент произошел вопреки всем действующим системам безопасности, и нужно восстановить ход событий, чтобы понять, что произошло, как и почему, и что сделать, чтобы инциденты не повторялись.

Выявление нелегального майнинга – одна из наиболее востребованных в последнее время задач для решения такого класса.

Практика выявления майнеров

Один из наших клиентов с крупной корпоративной сетью, свыше 3500 компьютеров, обратился за помощью в выявлении майнеров в своей сети.
Стоит сказать, майнинг сам по себе сложно отнести к явным финансовым рискам или инцидентам безопасности. Здесь скорее нецелевая растрата ресурсов компании со стороны сотрудников, а также вирусы и рекламные программы, которые пользователи по неопытности устанавливают под видом ПО для майнинга.
Но опасность в том, что майнинг может осуществляться и без ведома сотрудника. Например, вредоносное ПО для добычи криптовалюты встраивается в другой устанавливаемый софт или выполняется прямо в браузере жертвы, и компьютер в сети компании оказывается заражен. Тогда это уже серьезная проблема ИБ.

Инженеры «Гарды Технологии» совместно с отделом ИБ заказчика с помощью комплекса «Гарда Монитор» детально исследовали трафик организации. Начали с поиска обращений к адресам майнинговых пулов — серверов, которые объединяют мощности оборудования сразу многих майнеров для повышения вероятности нахождения блока и делят награду за его добычу между всеми участниками.
Такой трафик обнаружен не был.

Поэтому мы усложнили условия — провели поиск по списку портов, которые использует ПО для майнинга для взаимодействия с майнинг-пулами – но нашли только TCP-потоки, не относящиеся к майнингу. Поиск протокола Stratum, по которому майнеры подключаются к пулу, также не дал результатов.

Но, в процессе изучения трафика в сети организации, система «Гарда Монитор» выявила использование протокола TOR – анонимной сети виртуальных туннелей, предоставляющей передачу данных в зашифрованном виде. Использование протокола TOR в сети — само по себе уже крайне подозрительное событие. Это означает, что кто-то из сотрудников умышленно пытается что-то скрыть, либо свидетельствует о наличии ПО, пытающегося что-то скрыть, возможно, и без ведома сотрудника.

Продолжили расследование по факту инцидента. На сетевом уровне стало понятно, с каких компьютеров осуществляется передача информации с помощью этого протокола.

Наиболее быстрым и простым способом дальнейшего расследования стало использование возможностей DLP-системы – решения для защиты от утечки информации. В нашем случае заказчик уже довольно продолжительное время использовал DLP-систему «Гарда Предприятие», возможности которой позволили провести ретроспективный анализ корпоративных коммуникаций за нужный период.

В результате анализа действий сотрудников за компьютерами, передававшими данные по протоколу TOR, оказалось, что ~20 компьютеров уже несколько месяцев работали в режиме 24/7, при этом за последние несколько недель на них не было логинов/логаутов, переключений окон приложений и даже движений мыши и нажатия клавиатуры. С помощью ретроспективного анализа выяснилось, что среди последних активностей был запуск ПО с параметрами командной строки, по формату похожими на адрес кошелька криптовалюты. Аналогичная ситуация была на всех компьютерах, подключенных к TOR.

Проанализировав параметры запуска ПО, выяснили, что это ПО для майнинга криптовалюты ZCASH.

INFO

ZCASH — это первая открытая и свободная от цензуры криптовалюта, которая может полностью защитить конфиденциальность транзакций, используя криптографический метод с нулевым разглашением. Разработчик системы – Zerocoin ElectricCoin Company (ZECC). Ее курс, по данным на июль 2018, — $223,9 за 1 ZEC

Далее по адресу кошелька проанализировали начисления за майнинг на этот кошелек. Сумма оказалась равна примерно $2.6 с одного компьютера в сутки. Это был майнинг, осознанно запущенный сотрудником.

Эксплуатируемые в организации комплексы «Гарда Монитор» и «Гарда Предприятие» дали вполне понятную картину происходящего. Выявили конкретного сотрудника, организовавшего майнинговую ферму на рабочем месте. Далее предстоял следующий этап работ с этим сотрудником…

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Центр Начало
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: