웹사이트 검색

네트워크에서 크립토마이너를 탐지하고 물리치는 방법


암호화폐 채굴은 불법이 아닙니다. 그러나 컴퓨터나 네트워크를 사용하여 허가 없이 그렇게 하는 것은 불법입니다. 누군가 자신의 이익을 위해 리소스를 크립토재킹하고 있는지 확인하는 방법은 다음과 같습니다.

암호화폐와 채굴의 필요성

암호 화폐가 코인으로 사용하는 가상 토큰은 매우 복잡한 수학적 문제가 많이 해결되었을 때 발행됩니다. 이러한 문제를 해결하는 데 필요한 계산 노력은 엄청납니다.

많은 컴퓨터가 함께 연결되어 풀이라는 분산 처리 플랫폼을 형성하는 공동 작업입니다. 수학적 문제를 풀거나 해결에 기여하는 것을 마이닝이라고 합니다. 구매 및 결제와 같이 암호화폐로 이루어진 거래를 기록하는 것도 채굴이 필요합니다. 채굴에 대한 보상은 소량의 암호화폐입니다.

시간이 지날수록 새 코인을 주조하기가 더 어려워집니다. 각 암호화폐는 통화 수명 동안 미리 결정된 수의 코인을 발행합니다. 점점 더 많은 코인이 생성되고 더 적은 수의 새로운 코인이 생성될수록 새로운 코인을 채굴하고 주조하는 데 필요한 노력이 증가합니다. 소규모 암호화폐 채굴로 돈을 벌 수 있었던 시대는 오래 전에 지났습니다. 당신이 사용하는 전기의 양은 당신의 작은 암호화폐 이익을 소멸시킵니다.

수익성 있는 크립토마이닝에는 전문 장비와 전체 기계 농장이 필요합니다. 하드웨어 비용을 회수하고 운영 비용을 영구적으로 상쇄해야 하므로 그렇다고 해서 모두 공짜 돈은 아닙니다. 물론 채굴을 수행하기 위해 다른 사람의 컴퓨팅 리소스를 사용하고 있지 않는 한. 허가 없이 다른 사람의 IT 리소스를 사용하는 것은 범죄이지만 사이버 범죄자를 막을 수는 없습니다.

피싱 공격이나 감염된 웹사이트를 사용하여 사용자 모르게 크립토마이닝 맬웨어를 쉽게 설치하고 전력과 CPU 주기를 훔칠 수 있습니다. 그들이 당신의 돈으로 크립토마이닝하는 또 다른 방법은 방문자의 브라우저가 크립토마이닝 풀에 가입하고 JavaScript 크립토마이닝 스크립트를 실행하도록 웹사이트를 감염시키는 것입니다. 위협 행위자가 어떤 방법을 사용하든 이를 크립토재킹이라고 하며 이를 통해 더 높은 공과금과 성능 저하에 직면하는 동안 이익을 얻을 수 있습니다.

가능한 한 많은 조직에서 최대한 많은 컴퓨터를 손상시키려고 하기 때문에 컴퓨터 풀이 크고 강력해집니다. 그 힘은 그들이 채굴 프로세스에 실질적으로 기여하고 보상을 받을 수 있다는 것을 의미합니다.

대규모 채굴

Cryptomining은 Advanced Persistent Threat 그룹 및 기타 국가 지원 위협 행위자에 의해 사용되었습니다. Microsoft는 보안 블로그에서 한 국가 지원 사이버 스파이 그룹이 일반적인 형태의 사이버 범죄 활동에 크립토재킹을 추가한 방법을 설명했습니다.

그들은 프랑스와 베트남에서 광범위한 공격을 수행하여 인기 있는 암호화폐 Monero를 채굴하기 위해 크립토마이너를 배치했습니다. 이와 같이 대규모로 암호화폐를 채굴하면 수익성이 보장됩니다.

크립토마이닝을 발견하는 방법

귀하 또는 귀하의 사용자가 컴퓨터 또는 서버의 성능 저하를 발견하고 해당 시스템이 지속적으로 높은 CPU 부하 및 팬 활동을 보이는 경우 이는 크립토재킹이 발생하고 있음을 나타내는 것일 수 있습니다.

때때로 잘못 작성되고 잘못 테스트된 운영 체제 또는 응용 프로그램 패치가 동일한 증상을 공유하는 부작용을 일으킬 수 있습니다. 그러나 영향을 받는 컴퓨터의 수가 갑자기 광범위하게 나타나고 예정된 패치가 배포되지 않았다면 크립토재킹일 가능성이 높습니다.

더 스마트한 크립토재킹 소프트웨어 중 일부는 합법적인 사용자 활동의 특정 임계값을 감지하면 CPU 부하를 제한합니다. 이렇게 하면 찾기가 더 어려워지지만 새로운 지표도 도입됩니다. 컴퓨터에서 아무 일도 일어나지 않거나 거의 일어나지 않을 때 CPU와 팬이 더 높아지면(예상했던 것과 정반대) 크립토재킹일 가능성이 높습니다.

크립토재킹 소프트웨어는 합법적인 애플리케이션에 속한 프로세스인 것처럼 가장하여 혼합을 시도할 수도 있습니다. 악성 DLL이 적법한 DLL을 대체하는 DLL 사이드로딩과 같은 기술을 사용할 수 있습니다. DLL은 실행 시 bone fide 애플리케이션 또는 백그라운드에서 다운로드된 doppelgänger 애플리케이션에 의해 호출됩니다.

일단 호출되면 사기성 DLL이 크립토마이닝 프로세스를 시작합니다. 높은 CPU 부하가 감지되고 조사되는 경우 합법적인 응용 프로그램이 오작동하고 불리한 방식으로 수행되는 것으로 나타납니다.

맬웨어 작성자가 이러한 조치를 취하고 있는 상황에서 어떻게 크립토재킹이 무엇인지 인식하고 잘못된 정상적인 애플리케이션으로 오인하지 않을 수 있습니까?

한 가지 방법은 방화벽, DNS 서버 및 프록시 서버와 같은 네트워크 장치의 로그를 검토하고 알려진 크립토마이닝 풀에 대한 연결을 찾는 것입니다. 크립토마이너가 사용하는 연결 목록을 얻고 차단합니다. 예를 들어, 이러한 패턴은 대부분의 Monero 크립토마이닝 풀을 차단합니다.

  • *xmr.*
  • *pool.com
  • *pool.org
  • 풀.*

이 전술의 반대는 외부 연결을 알려진 양호한 엔드포인트로 제한하지만 훨씬 더 어려운 클라우드 중심 인프라를 사용하는 것입니다. 불가능하지는 않지만 합법적인 자산이 차단되지 않도록 지속적인 검토 및 유지 관리가 필요합니다.

클라우드 공급자는 외부 세계에서 보이는 방식에 영향을 주는 변경을 수행할 수 있습니다. Microsoft는 매주 업데이트되는 모든 Azure IP 주소 범위 목록을 유용하게 유지 관리합니다. 모든 클라우드 공급자가 그렇게 체계적이거나 사려 깊은 것은 아닙니다.

크립토마이닝 차단

대부분의 인기 있는 브라우저는 웹 브라우저에서 크립토마이닝을 차단할 수 있는 확장 프로그램을 지원합니다. 일부 광고 차단기는 JavaScript 크립토마이닝 프로세스 실행을 감지하고 중지하는 기능이 있습니다.

Microsoft는 코드명 Super Duper 보안 모드라는 Edge 브라우저의 새로운 기능을 실험하고 있습니다. 이는 V8 JavaScript 엔진 내에서 Just in Time 컴파일을 완전히 해제하여 브라우저의 공격 표면을 크게 줄입니다.

이렇게 하면 성능이 느려지지만(적어도 문서상으로는) 브라우저에서 상당히 복잡한 계층이 제거됩니다. 복잡성은 버그가 잠입하는 곳입니다. 그리고 버그는 악용될 때 손상된 시스템으로 이어지는 취약점으로 이어집니다. 많은 테스터가 Edge의 테스트 릴리스 버전을 사용할 때 눈에 띄는 속도 저하가 없다고 보고합니다. 물론 마일리지는 다를 수 있습니다. 매우 집약적인 웹 앱을 습관적으로 사용하는 경우 속도가 느려질 수 있습니다. 그러나 대부분의 사람들은 매번 작은 성능 향상보다 보안을 선택합니다.

평소처럼…

예방이 치료보다 낫습니다. 좋은 사이버 위생은 교육에서 시작됩니다. 직원이 일반적인 피싱 공격 기술과 숨길 수 없는 징후를 인식할 수 있는지 확인하십시오. 그들이 편안하게 문제를 제기할 수 있도록 하고 의심스러운 통신, 첨부 파일 또는 시스템 동작을 보고하도록 권장하십시오.

가능한 경우 항상 2단계 또는 다단계 인증을 사용하십시오.

최소 권한 원칙을 사용하여 네트워크 권한을 부여합니다. 개인이 자신의 역할을 수행할 수 있는 액세스 권한과 자유를 가질 수 있도록 권한을 할당합니다.

이메일 필터링을 구현하여 피싱 이메일 및 주소 스푸핑과 같은 의심스러운 특성이 있는 이메일을 차단합니다. 물론 다른 시스템에는 다른 기능이 있습니다. 이메일 플랫폼이 사용자가 클릭하기 전에 이메일 본문 텍스트의 링크를 확인할 수 있다면 훨씬 더 좋습니다.

방화벽, 프록시 및 DNS 로그를 확인하고 설명할 수 없는 연결을 찾습니다. 자동화된 도구가 도움이 될 수 있습니다. 알려진 크립토마이닝 풀에 대한 액세스를 차단합니다.

매크로 및 설치 프로세스의 자동 실행을 방지합니다.