Spis treści
Jak wykryć kopanie kryptowalut w Twojej organizacji?
Przeciwnicy mogą instalować aplikacje do kopania kryptowalut na przejętych hostach, co jest jedną z konsekwencji złośliwej aktywności. Dodatkowo instalacja takich aplikacji może być wykonywana przez pracowników organizacji, którzy chcą wykorzystać darmową moc obliczeniową – co zazwyczaj stanowi naruszenie polityki bezpieczeństwa organizacji.
Zatem w jaki sposób można spróbować wykryć technikę Resource Hijacking (https://attack.mitre.org/techniques/T1496/), czyli technikę MITRE ATT&CK związaną z kopaniem kryptowalut?
Wykrycie takiej aktywności może być możliwe dzięki monitorowaniu komunikacji z/do nietypowych portów, np. 3333, 4444, 5555, 6666, 7777, 8888, 9999, a także reputacji adresów IP i URL-i związanych z hostami kryptowalutowymi. Można więc wykorzystać logi i dane przepływu z takich źródeł jak ruch sieciowy (Web Proxy, Firewall, Load Balancer, IDS/IPS, NetFlow), logi DNS, logi aplikacyjne, logi Sysmon / logi bezpieczeństwa, by wykryć taką aktywność.
W systemie Sycope NSM możesz użyć poniższego zapytania, aby wyszukać takie aktywności w ruchu sieciowym: lookupKeyExists(„sec-port-cryptomining”, {„Port”: serverPort }) or lookupKeyExists(„sec-port-cryptomining”, {„Port”: clientPort })
Jak widać, analiza tego typu aktywności jest prosta i szybka – szczególnie jeśli dysponujemy odpowiednim narzędziem do tworzenia szybkich zapytań typu threat hunting.
FAQ
Wykrycie kopania kryptowalut może być możliwe dzięki monitorowaniu komunikacji z/do nietypowych portów, np. 3333, 4444, 5555, 6666, 7777, 8888, 9999, a także reputacji adresów IP i URL-i związanych z hostami kryptowalutowymi. Można wykorzystać logi i dane przepływu z takich źródeł jak ruch sieciowy (Web Proxy, Firewall, Load Balancer, IDS/IPS, NetFlow), logi DNS, logi aplikacyjne, logi Sysmon/logi bezpieczeństwa, by wykryć taką aktywność.
Kopanie kryptowalut może być konsekwencją złośliwej aktywności, prowadząc do naruszenia polityki bezpieczeństwa organizacji i wykorzystania zasobów obliczeniowych bez zgody.
Można użyć systemu Sycope NSM oraz innych narzędzi do monitorowania ruchu sieciowego, aplikacji Web Proxy, Firewall, IDS/IPS, NetFlow, logów DNS czy aplikacyjnych.
Nietypowe porty często używane w kryptowalutowych operacjach to m.in. 3333, 4444, 5555, 6666, 7777, 8888, 9999.
System Sycope NSM umożliwia szybkie wyszukiwanie aktywności sieciowych związanych z kopaniem kryptowalut poprzez tworzenie zapytań oparte na portach powiązanych z tą aktywnością.
