Jak wykryć kopanie kryptowalut w Twojej organizacji?
Przeciwnicy mogą instalować aplikacje do kopania kryptowalut na przejętych hostach, co jest jedną z konsekwencji złośliwej aktywności. Dodatkowo instalacja takich aplikacji może być wykonywana przez pracowników organizacji, którzy chcą wykorzystać darmową moc obliczeniową – co zazwyczaj stanowi naruszenie polityki bezpieczeństwa organizacji.
Zatem w jaki sposób można spróbować wykryć technikę Resource Hijacking (https://attack.mitre.org/techniques/T1496/), czyli technikę MITRE ATT&CK związaną z kopaniem kryptowalut?
Wykrycie takiej aktywności może być możliwe dzięki monitorowaniu komunikacji z/do nietypowych portów, np. 3333, 4444, 5555, 6666, 7777, 8888, 9999, a także reputacji adresów IP i URL-i związanych z hostami kryptowalutowymi. Można więc wykorzystać logi i dane przepływu z takich źródeł jak ruch sieciowy (Web Proxy, Firewall, Load Balancer, IDS/IPS, NetFlow), logi DNS, logi aplikacyjne, logi Sysmon / logi bezpieczeństwa, by wykryć taką aktywność.
W systemie Sycope NSM możesz użyć poniższego zapytania, aby wyszukać takie aktywności w ruchu sieciowym: lookupKeyExists(„sec-port-cryptomining”, {„Port”: serverPort }) or lookupKeyExists(„sec-port-cryptomining”, {„Port”: clientPort })
Jak widać, analiza tego typu aktywności jest prosta i szybka – szczególnie jeśli dysponujemy odpowiednim narzędziem do tworzenia szybkich zapytań typu threat hunting.
