رمزنگاری چیست؟

Cryptojacking استفاده غیرمجاز از رایانه شخصی برای معدن رمزنگاری است. این کار به طور معمول با نصب بدافزار روی رایانه مقتول انجام می شود که از قدرت پردازش آنها برای معدن رمزنگاری و بدون اطلاع و رضایت آنها استفاده می کند.

رمزنگاری می تواند رایانه قربانی را کند کرده و باعث استفاده از برق بیشتر شود و به طور بالقوه منجر به قبض برق بالاتر برای قربانی شود. رمزنگاری نوعی حمله سایبری است و در بسیاری از کشورها غیرقانونی است.

این بخشی از یک سری مقاله در مورد امنیت کاربرد است.

در این مقاله:

• بدافزار رمزنگاری چگونه کار می کند؟
• تأثیر رمزنگاری
• روشهای حمله رمزنگاری
• نمونه های رمزنگاری
• وابسته به
• Wannamine v4. 0
• کرم صورت
• سیاه و سفید
• بهترین روشها برای تشخیص و جلوگیری از حملات رمزنگاری
• حملات رمزنگاری در ابر بومی

بدافزار رمزنگاری چگونه کار می کند؟

Cryptojacking رواج دارد زیرا مانع ورود کم است و بسیار سودآور است. هکرها می توانند به دستگاه ها دزدکی حرکت کنند و بدافزارهای رمزنگاری شده را فقط با چند خط کد (معمولاً JavaScript) اجرا کنند و در پس زمینه کشف نشده اند.

CryptoJackers اغلب کاربران را در کلیک بر روی پیوندها در ایمیل های فیشینگ و بارگیری کد مخرب در دستگاه های خود طعمه می زند. رویکرد دیگر آلوده کردن وب سایت ها با استفاده از خطوط فرمان cryptojacking تعبیه شده در کد HTML است - این کد سپس هنگام باز کردن کاربر صفحه وب آلوده ، برنامه معدن را بطور خودکار اجرا می کند.

برخی از انواع بدافزار رمزنگاری حتی می توانند ویروس را به دستگاه های اضافی منتقل کنند. در بعضی موارد ، مهاجمان می توانند از منابع محاسباتی بزرگ یک مزرعه سرور به صورت رایگان بهره مند شوند.

حملات رمزنگاری معمولاً شامل فساد یا سرقت داده های شخصی نمی شود. هدف اصلی دسترسی و استفاده از قدرت محاسبات دستگاه است. هکرها انگیزه ای برای کشف ندارند زیرا هرچه برنامه معدن طولانی تر اجرا شود ، رمزنگاری بیشتری می تواند به دست آورد.

تأثیر رمزنگاری

روش اصلی که رمزنگاری بر رایانه یک قربانی تأثیر می گذارد ، کاهش سرعت آن و ایجاد استفاده از برق بیشتر است. این امر به این دلیل است که بدافزار نصب شده در رایانه قربانی از قدرت پردازش رایانه خود برای معدن رمزنگاری استفاده می کند.

Cryptojacking بدافزار می تواند سخت افزار رایانه را فشار دهد ، باعث گرم شدن بیش از حد آن شود و ممکن است طول عمر آن را کوتاه کند. علاوه بر این ، نصب بدافزار بر روی رایانه می تواند آن را در برابر سایر حملات آسیب پذیر کند.

روشهای حمله رمزنگاری

دو نوع اصلی حملات رمزنگاری وجود دارد:

• حملات مبتنی بر مرورگر وب شامل استفاده از یک وب سایت یا آگهی آنلاین برای ارائه بدافزار رمزنگاری شده به رایانه قربانی است. هنگامی که قربانی از وب سایت بازدید می کند یا بر روی آگهی کلیک می کند ، بدافزار به طور خودکار در رایانه آنها بارگیری و نصب می شود. این نوع حمله به عنوان "رمزنگاری درایو" شناخته می شود زیرا رایانه قربانی به سادگی با مراجعه به یک وب سایت به خطر می افتد.
• حملات مبتنی بر میزبان شامل نصب بدافزار رمزنگاری مستقیم بر روی رایانه قربانی است. این کار می تواند از طریق روش های مختلفی انجام شود ، مانند ارسال قربانی یک پیوست ایمیل مخرب ، استفاده از یک برنامه یا بازی جعلی که حاوی بدافزار یا به خطر انداختن زنجیره تأمین یک ارائه دهنده نرم افزار قانونی و درج بدافزار در نرم افزار است.

نمونه های رمزنگاری

وابسته به

Coinhive یک سرویس معدن cryptocurrency بود که در سال 2017 راه اندازی شد. به صاحبان وب سایت اجازه می داد تا یک کد JavaScript را در وب سایت های خود جاسازی کنند ، که سپس از رایانه بازدید کننده وب سایت برای معدن Cryptocurrency Monero استفاده می کند. این به "معدن مرورگر" معروف بود و نوعی رمزنگاری بود.

Coinhive به گونه ای طراحی شده است که یک روش قانونی برای صاحبان وب سایت برای تولید درآمد از وب سایت های خود بدون تکیه بر تبلیغات باشد. با این حال ، از مهاجمان به طور گسترده ای استفاده می شد تا بدافزارها را بدون اطلاع و رضایت خود به رایانه های قربانیان تحویل دهند. سرانجام ، Coinhive در مارس 2019 به دلیل کاهش علاقه کاربر و افزایش نظارت نظارتی تعطیل شد.

Wannamine v4. 0

Wannamine نوعی بدافزار است که در حملات رمزنگاری مورد استفاده قرار می گیرد ، که برای اولین بار در سال 2018 کشف شد. معمولاً از طریق یک ایمیل فیشینگ که حاوی دلبستگی مخرب است ، به رایانه های قربانیان تحویل داده می شود. هنگامی که قربانی ضمیمه را باز می کند ، بدافزار Wannamine روی رایانه آنها نصب می شود. سپس بدافزار از رایانه قربانی برای معدن رمزنگاری Monero استفاده می کند.

علاوه بر معدن Cryptocurrency ، Wannamine همچنین برای گسترش خود در رایانه های دیگر در همان شبکه طراحی شده است. Wannamine v4. 0 آخرین نسخه بدافزار Wannamine است. در سال 2020 کشف شد و برای استفاده از روشهای مختلف برای جلوگیری از تشخیص و حذف شناخته شده است. همچنین قادر به سرقت اطلاعات حساس از رایانه قربانی است.

کرم صورت

FaceXworm از مهندسی اجتماعی برای فریب کاربران پیام رسان فیس بوک در کلیک روی پیوندهای جعلی YouTube استفاده می کند. آنها به یک سایت جعلی می رسند که از کاربران می خواهد تا یک برنامه افزودنی Chrome را برای مشاهده محتوا بارگیری کنند - این برنامه افزودنی حساب فیس بوک خود را ربوده و آنها را به شبکه ای از دوستان متصل می کند تا کرم گسترش یابد. علاوه بر این ، آن را بدافزار Facexworm مستقر می کند و شروع به استخراج cryptocurrency در دستگاه آنها می کند.

FaceXWorm فقط دستگاه کاربر را برای معدن رمزنگاری نمی کند. هنگامی که کاربران سعی می کنند به سایت های خاصی مانند Google یا MyMonero وارد سیستم شوند ، اعتبار آنها ربوده می شود و به سیستم عامل های جعلی هدایت می شوند که کاربر را ملزم به پرداخت cryptocurrency می کند. به عنوان بخشی از این فرآیند ، کرم از اعتبار کاربر برای انتقال مقادیر زیادی رمزنگاری به مهاجمان استفاده می کند.

سیاه و سفید

Black-T یک نوع بدافزار رمزنگاری شده توسط TeamTNT ، یک گروه مجرمان سایبری است که اعتبار AWS را در سیستم ها و معادن به خطر افتاده برای ارز مونرو هدف قرار می دهد. به طور سنتی ، TeamTnt API را با Daemons Docker در معرض هدف قرار داد و برای سیستم های آسیب پذیر برای انجام حملات رمزنگاری اسکن شد.

با این حال ، کد Black-T قابلیت های پیشرفته ای را فراهم می کند ، از جمله هدف قرار دادن و مسدود کردن کرم های رمزنگاری شده قبلاً ناشناخته مانند کرم Crux و Miner NTPD (یک رمزنگاری Redis-Bakup). همچنین از عملیات ضبط رمز عبور در حافظه با mimipenguins و mimipy استفاده می کند ، رمزهای عبور را شناسایی می کند و آنها را به مرکز کنترل TeamTNT می پردازد.

Black T همچنین می تواند تلاش های رمزنگاری گروه را با ترکیب اسکنرهای مختلف شبکه برای شناسایی API های Dacker Daemon در شبکه هدف ، از جمله در شبکه های محلی و عمومی گسترش دهد. این موارد شامل PNSCAN ، MASSCAN و ZGRAB است - اولین بار TeamTNT از یک ابزار Golang استفاده کرده است.

بهترین روشها برای تشخیص و جلوگیری از حملات رمزنگاری

بهترین روشهای زیر می تواند به تشخیص و جلوگیری از رمزنگاری در سازمان شما کمک کند:

• رایانه ها و مرورگرهای وب را به روز نگه دارید - مطمئن شوید که دستگاه ها و مرورگرهای وب همیشه آخرین نسخه را اجرا می کنند ، زیرا این به روزرسانی ها اغلب شامل اصلاحات امنیتی هستند که می توانند در برابر اشکال جدید بدافزار محافظت کنند.
• از یک نرم افزار معتبر ضد بدافزار استفاده کنید-و به طور مرتب آنتی ویروس و نرم افزار امنیتی را در همه دستگاه ها به روز کنید تا به محافظت در برابر بدافزار و سایر تهدیدها کمک کند.
• به کاربران آموزش دهید که در هنگام باز کردن ایمیل و پیوست ها محتاط باشند - از بین بردن و پیوست های منابع ناشناخته اغلب برای ارائه بدافزار ، از جمله رمزنگاری استفاده می شود.
• از بارگیری های غیرمجاز جلوگیری کنید - سیاست های شرکت و سیستم های فیلتر محتوا را برای اطمینان از کاربران فقط می توانند نرم افزار قانونی و تأیید شده را بارگیری کنند.
• از مسدود کننده های تبلیغاتی استفاده کنید-با استفاده از یک مسدود کننده معتبر تبلیغاتی برای محافظت در برابر حملات رمزنگاری درایو که از تبلیغات آنلاین یا پنجره ها استفاده می شود ، استفاده کنید.
• از حفاظت از روز صفر استفاده کنید-حفاظت از روزه شامل استفاده از نرم افزار یا سایر فناوری ها برای محافظت در برابر تهدیدهای جدید و ناشناخته است که قبلاً دیده نشده است. این می تواند به محافظت در برابر اشکال جدید رمزنگاری کمک کند که هنوز توسط آنتی ویروس سنتی و نرم افزار امنیتی شناخته نشده است.
• اجرای احراز هویت قوی - تأیید اعتبار ، شامل استفاده از چندین روش برای تأیید هویت کاربر قبل از اعطای دسترسی به آنها به یک سیستم یا شبکه است. این می تواند به جلوگیری از دسترسی به سیستم های حساس توسط CryptoJacking بدافزار کمک کند.
• از منابع ابری محافظت کنید-ابر می تواند منابع گسترده ای را برای رمزنگاری فراهم کند. اگر از خدمات محاسباتی ابری استفاده می کنید ، حتماً منابع ابری را به درستی ایمن کنید تا از دسترسی غیرمجاز جلوگیری کنید - تأیید اعتبار قوی ، داده های رمزگذاری شده در ترانزیت و استراحت را انجام دهید و به طور مرتب نرم افزار و تنظیمات امنیتی خود را به روز کنید.
• از محافظت از ضد بوته استفاده کنید-حفاظت از حفاظت از استفاده از نرم افزار یا سایر فناوری ها برای شناسایی و جلوگیری از بات نت ها ، که شبکه هایی از رایانه های به خطر افتاده هستند که اغلب برای توزیع بدافزار استفاده می شوند. محافظت از ضد بوته می تواند به جلوگیری از گسترش بدافزارها به رایانه یا شبکه کمک کند.

حملات رمزنگاری در ابر بومی

هکرها حساب های ابری را برای ایجاد بار کاری رمزنگاری توزیع شده به خطر می اندازند - آنها منابع محاسباتی ابری آسیب پذیر و نادرست را به خطر می اندازند و از آن برای رمزنگاری ، سیستم های اضافه بار و در نتیجه هزینه های بالاتر برای خدمات ابری استفاده می کنند.

به عنوان مثال ، گروه هکر رومانیایی با استفاده از اعتبارنامه های پیش فرض یا سرقت شده و سوء استفاده از آسیب پذیری های شناخته شده برای انجام حملات DDOS یا ارز مینرو ، سرورهای لینوکس و دستگاههای اینترنت اشیاء (IOT) را به خطر می اندازد. گروه دیگری ، TeamTnt ، پیچیده تر است و آسیب پذیری های خدمات نرم افزاری را هدف قرار می دهد - ادعا می شود که این کار را متوقف می کند اما به جای آن حملات خود را افزایش می دهد.

گروه دیگری که مسئول بسیاری از سوء استفاده های رمزنگاری شده در ابر است ، کینز می شود. این به سرعت آسیب پذیری log4j را برای سازش محیط های بومی ابر هدف قرار داد. سایر هکرها راه هایی برای بهره برداری از خدمات سطح آزاد برای ادغام مداوم و خطوط لوله استقرار مداوم (CI/CD) را کشف کرده اند. آنها DevOps Azure ، Circleci ، Bitbucket ، GitHub و GitLab را هدف قرار می دهند تا بارهای کاری گذرا را در سرویس های ابری رمزنگاری کنند.

تأمین برنامه های بومی ابر با امنیت Aqua

Aqua جایگزین رویکردهای مبتنی بر امضای منسوخ شده با کنترل های مدرن می شود که از اصول ابر بومی تغییر ناپذیری ، میکروسرویس و قابلیت حمل استفاده می کند. با استفاده از تجزیه و تحلیل تهدید پویا ، لیست لیست های رفتاری با ماشین ، کنترل یکپارچگی و تقسیم نانو ، Aqua محافظت از امنیت کاربردی مدرن را در طول چرخه عمر امکان پذیر می کند.

رویکرد کامل امنیت چرخه عمر Aqua ، پوشش همه ابرها و سیستم عامل ها را فراهم می کند ، با زیرساخت های موجود شرکت ها و اکوسیستم بومی ابر.

ساخت را ایمن کنید

با تشخیص مسائل امنیتی در آثار باستانی خود و کوتاه شدن زمان برای اصلاح ، توسعه را تسریع کنید. امنیت "Shift Left" را به خط لوله CI/CD ، در وضعیت امنیتی خط لوله خود مشاهده کنید و قبل از استقرار برنامه ، سطح حمله برنامه را کاهش دهید.

زیرساخت ها را ایمن کنید

اجرای انطباق در پشته ، دید در زمان واقعی و کنترل وضعیت امنیتی خود را به دست آورید. نظارت ، تشخیص و اصلاح خودکار مسائل پیکربندی را در بین خدمات ابری عمومی و خوشه های Kubeetes اصلاح کنید. از مطابقت با معیارهای CIS ، PCI-DSS ، HIPAA ، GDPR و سایر مقررات اطمینان حاصل کنید.

بارهای کاری را ایمن کنید

از برنامه های کاربردی در زمان اجرا با استفاده از یک مدل اعتماد صفر ، با کنترل های دانه ای که به طور دقیق تشخیص و متوقف کردن حملات را محافظت می کند ، محافظت کنید. امنیت را در سراسر VM ها ، ظروف و سرور در هر ابر ، ارکستر و سیستم عامل متحد کنید. مفاهیم میکرو خدمات را برای اجرای تغییر ناپذیری و تقسیم بندی خرد استفاده کنید.

• اسکن آسیب پذیری: خطوط لوله CI و ثبت ها ، تصاویر کانتینر ، تصاویر VM و توابع را اسکن کنید. آسیب پذیری های شناخته شده ، بدافزار ، اسرار تعبیه شده ، مجوز OSS ، پیکربندی و مجوزها را پیدا کنید و بر اساس تأثیر بالقوه اولویت بندی کنید

• تجزیه و تحلیل تهدید پویا: با استفاده از یک جعبه ماسه ای ایمن ، بدافزار پنهان و حملات زنجیره ای را در تصاویر کانتینر کشف و کاهش دهید

• مدیریت وضعیت وضعیت امنیتی ابر (CSPM): به طور مداوم حسابهای ابری و خدمات برای خطرات امنیتی و تنظیم غلط خودکار تنظیم می شود
• امنیت کانتینر: از نتایج اسکن برای تعیین خط مشی برای استقرار تصویر و جلوگیری از استفاده از تصاویر غیرقابل تصویب استفاده کنید. آسیب پذیری های شناخته شده را با Aqua Vshield کاهش دهید و از سوء استفاده های بدون تغییر کد جلوگیری می کند. با جلوگیری از رانش در برابر تصاویر مبدأ آنها ، تغییر ناپذیری کانتینر را اجرا کنید