マイニングハイジャックとも呼ばれるクリプトジャッキングは、暗号通貨をマイニングするために他人のコンピュータを不正に使用することです。
通常、ハッカーは被害者に電子メール内の悪意のあるリンクをクリックさせて暗号通貨マイニング コードをコンピュータにロードしたり、被害者のブラウザに読み込まれると自動的に実行される JavaScript コードを Web サイトやオンライン広告に感染させたりします。
いずれにせよ、マイニング コードはバックグラウンドで実行されますが、何も知らない被害者は通常どおりコンピューターを使用できます。彼らが気づくかもしれない唯一の兆候は、コンピューターのパフォーマンスの低下または実行の遅延です。
なぜ鉱山乗っ取り事件が後を絶たないのか?
ハッカーがクリプトジャッキングを通じてどれだけの仮想通貨をマイニングしたかは誰も知りませんが、この手法が増加していることは間違いありません。
ブラウザベースのクリプトジャッキングは急速に増加しています。昨年11月の報道によると、アドガードレポート、ブラウザ内クリプトジャッキングは 31% 増加しました。 Adguard の調査によると、合計 33,000 の Web サイトでマイニング ハイジャック スクリプトが実行されており、これらの Web サイトへの月間アクセス数は 10 億に達すると推定されています。今年の2月には、Bad Packets ReportCoinhive を実行しているサイトが 34,474 件見つかりました。 Coinhive は最も人気のある JavaScript マイニング プログラムであり、合法的な暗号通貨マイニング活動にも使用されています。
「仮想通貨マイニングは初期段階にあり、まだ成長し進化する余地がたくさんあります」とサイバーセキュリティ ソリューション プロバイダーである WatchGuard Technologies の脅威インテリジェンス アナリストである Marc Laliberte 氏は述べ、Coinhive プログラムは導入が簡単で、最初に作成されたプログラムであると指摘しました。 1 か月で 300,000 米ドルの価値。
「それ以来、Coinhive は急速に成長しました。この方法でお金を稼ぐのは本当に簡単です。」
1月に研究者らが発見したSmominru暗号通貨マイニング ボットネットであるこのワームは、主にロシア、インド、台湾で 500,000 台以上のマシンに感染しました。このボットネットの目的は、Windows サーバーに Monero をマイニングさせることです。サイバーセキュリティ企業プルーフポイントは、1月末の時点で360万ドルの価値を生み出したと推定している。
クリプトジャッキングには高度な技術的能力も必要ありません。Digital Shadows のレポートによると、「新たなゴールドラッシュ: 仮想通貨が詐欺の新境地となる」のように、鉱山ハイジャック キットはダークウェブで 30 ドルでのみ販売されています。
クリプトジャッキングがハッカーの間でますます人気になっている理由の 1 つは、より少ないリスクでより多くのお金を支払えるからです。加えて、
加えて、また、クリプトジャッキングは、ランサムウェアよりも検出および特定されるリスクがはるかに低くなります。マイニング コードはサイレントに実行されるため、長期間発見されない可能性があり、たとえ発見されたとしても、ソースを追跡するのは困難です。何も盗まれたり暗号化されたりしないため、被害者は追跡する動機がほとんどありません。ハッカーはMoneroやZcashのような匿名の暗号通貨を選択する傾向がありますこれらの通貨の背後にある違法行為を追跡するのは難しいためです。
クリプトジャッキングはどのようにして起こるのでしょうか?
ハッカーが被害者のコンピュータを入手して暗号通貨を密かにマイニングできる主な方法は 2 つあります。
1 つの方法は、被害者をだましてマイニング コードをコンピュータに読み込ませることです。このハイジャックは、フィッシングに似た方法で行われます。被害者は、正当に見える電子メールを受け取り、リンクをクリックするように誘導します。このリンクは、マイニング スクリプトをコンピューターにロードするコードを実行します。マイニング スクリプト コードは、被害者がコンピュータを使用している間、バックグラウンドで実行される可能性があります。
もう 1 つの方法は、大量に配布できる Web サイトや広告にスクリプトを配置することです。被害者が感染した Web サイトにアクセスするか、ブラウザにポップアップ表示される広告をクリックすると、スクリプトが自動的に実行されます。被害者のコンピュータにはコードは保存されません。
使用される方法に関係なく、マイニング コードは被害者のコンピュータを使用してマイニングを行い、結果をハッカーが制御するサーバーに送信します。
ハッカーは通常、利益を最大化するために両方の方法を使用します。「攻撃者は、より信頼性が高く持続性のあるマルウェアを被害者のコンピュータに送り込むためのフォールバックとしてマルウェア技術を使用します。例えば、ハッカーのために暗号通貨を採掘する100台のデバイスのうち、10パーセントが被害者を通過する可能性があります。」とヴァイスティク氏は述べた。デバイスは、Web ブラウザを通じて 90% の収益を生み出します。
他のほとんどの種類のマルウェアとは異なり、クリプトジャッキング スクリプトは、コンピュータや被害者のデータに損害を与えることはありません。彼らは CPU 処理リソースを盗みます。個人ユーザーにとって、コンピューターのパフォーマンスが遅いことは単に迷惑なだけかもしれません。企業にとって、マイニングのために多くのシステムが乗っ取られると、コストが増加する可能性があります。この問題を解決するために、ヘルプ デスクと IT 部門は時間をかけてパフォーマンスの問題を追跡し、コンポーネントやシステムを交換します。
実際に起きた鉱山ハイジャック事件
クリプトジャッキングは賢く、他の人のコンピューターを悪用して暗号通貨をマイニングするための多くの計画を考案します。ほとんどのスキームは新しいものではなく、その伝播方法は通常、ランサムウェアやアドウェアなどの他のマルウェアの方法から借用されています。実際のケースをいくつか示します。
不正な従業員が会社のシステムを乗っ取る
今年の EmTech デジタル カンファレンスでは、ダークトレースはヨーロッパの銀行の物語を語ります。銀行のサーバーでは異常なトラフィックが発生し、一晩中動作が遅くなっていましたが、銀行の診断ツールでは異常は見つかりませんでした。その間に、銀行が存在していないと主張していた新しいサーバーがオンラインになったことをダークトラックは発見した。最後に、Darktrac がデータセンターの物理検査を実施したところ、不正な従業員が床下に仮想通貨マイニング システムを構築していたことが判明しました。
使用GitHub がマイニング ソフトウェアを広める
3 月に、アバスト ソフトウェアは次のように報告しました。クリプトジャッキングは GitHub を悪意のあるマイニング ソフトウェアのホストとして使用します。彼らは正当なプロジェクトを見つけて、そこからフォークを作成し、そのフォークのディレクトリ構造にマルウェアを隠します。クリプトジャッカーは、Flash プレーヤーの更新のリマインダーやアダルト ゲーム Web サイトのふりをするなどのフィッシング詐欺を使用して、ユーザーを誘導してマルウェアをダウンロードさせます。
rTorrent の脆弱性の悪用
クリプトジャッカーは、XML-RPC 通信認証なしで一部の rTorrent クライアントにアクセスできる rTorrent の設定ミスの脆弱性を発見しました。彼らはインターネットをスキャンしてパッチが適用されていないクライアントを探し、Monero マイニング ソフトウェアをそれらのクライアントに展開します。F5 Networksこの脆弱性は 2 月に報告されており、rTorrent ユーザーはクライアントが外部接続を受け入れないようにすることが推奨されています。
Chrome 悪意のあるプラグイン Facexworm
トレンドマイクロトレンドマイクロ仮想通貨取引所をターゲットとする複数の Facex ワームが発見され、仮想通貨マイニング コードを拡散する可能性があります。依然として感染した Facebook アカウントを使用して悪意のあるリンクを拡散しますが、Web アカウントと認証情報を盗み、それらのページにクリプトジャッキング コードを埋め込むこともできます。
暴力的なマイニング ウイルス WinstarNssmMiner
5月に、360度警備員急速に拡散する可能性のあるマイニング ハイジャック プログラムである WinstarNssmMiner を発見しました。この悪意のあるプログラムの特徴は、アンインストールすると被害者のコンピュータがクラッシュすることです。 WinstarNssmMiner は、まず svchost.exe プロセスを開始してコードを埋め込み、次にプロセスのプロパティを CriticalProcess に設定します。コンピュータはそれを重要なプロセスと見なすため、プロセスが強制終了されると、コンピュータはブルー スクリーンを表示します。
鉱山ハイジャックを防ぐにはどうすればよいでしょうか?
次の手順に従えば、会社がマイニングのためにハイジャックされるリスクを最小限に抑えることができます。
企業のセキュリティ意識向上トレーニングには、フィッシングを通じてユーザーのコンピュータにマイニング スクリプトを読み込むハイジャック手法に焦点を当てた、クリプトジャッキングの脅威に関するコンテンツを含める必要があります。
ラリベルテ氏は、トレーニングが役立ち、攻撃者があらゆる種類のマルウェアを配布する主な手段は今後もフィッシングであると考えている。正規の Web サイトにアクセスしてクリプトジャッキングを自動的に実行する方法については、どの Web サイトにアクセスできないかをユーザーに伝える方法がないため、トレーニングは効果的ではないと Vaystikh 氏は述べています。
Web ブラウザに広告ブロックまたはマイニング対策プラグインをインストールします。
クリプトジャッキング スクリプトはオンライン広告を介して拡散されることが多いため、広告ブロッカーをインストールすることがそれらを防ぐ効果的な手段となります。 Ad Blocker Plus などの広告ブロッカーには、マイニング スクリプトを検出する機能があります。 Laliberte は、マイニング スクリプトを検出してブロックできる No Coin や MinerBlock などのブラウザ プラグインを推奨しています。
既知のマイナーを検出できるエンドポイント保護テクノロジーを使用します。
多くのエンドポイント保護/ウイルス対策ソフトウェア ベンダーは、マイナーを検出する機能を追加しています。 Anomali のセキュリティ戦略担当ディレクターである Travis Farral 氏は、「ウイルス対策は、エンドポイントがクリプトジャッキングを防ぐ方法の 1 つです。プログラムが既知であれば、検出される可能性が高くなります。」と述べ、「ウイルス対策は、エンドポイントによる検出を回避するための技術を常に変更しています。」と述べています。
Web フィルタリング ツールを更新します。
Web サイトでマイニング スクリプトが実行されていることが判明した場合は、すべてのユーザーがその Web サイトに再度アクセスしないようにしてください。
ブラウザのプラグインを保守します。
一部の攻撃者は、悪意のあるブラウザ プラグインや感染した正規プラグインを使用して、仮想通貨マイニング スクリプトを実行しています。
モバイル デバイス管理 (MDM) ソリューションを使用して、ユーザー デバイス上の内容をより詳細に制御できます。
Bring Your Own Device (BYOD) ポリシーは、違法な暗号通貨マイニングを防ぐのに効果的です。 Laliberte は、MDM が長期的に BYOD の安全性を維持できると信じています。 MDM ソリューションは、企業がユーザー デバイス上のアプリやプラグインを管理するのに役立ちます。 MDM ソリューションは大企業を対象とする傾向があり、中小企業にはそれを購入する余裕がないことがよくあります。しかし、ラリベルテ氏は、モバイルデバイスはデスクトップコンピュータやサーバーほど危険ではないと指摘した。モバイル デバイスは処理能力が低い傾向にあるため、ハッカーにとってはあまり利益になりません。
クリプトジャッキングを検出するにはどうすればよいですか?
ランサムウェアと同様、クリプトジャッキングを防ぐために最善の努力を払っているにもかかわらず、企業が影響を受ける可能性があります。特に少数のシステムのみが侵害された場合、企業がクリプトジャッキングを検出するのは困難になる可能性があります。機能するものは次のとおりです。
クリプトジャッキングの兆候を発見できるようにヘルプデスクを訓練します。
SecBI の Vaystikh 氏は、クリプトジャッキングの最初の兆候は、コンピュータのパフォーマンスが低下しているというユーザーからの苦情をヘルプデスクが受け取ったときであると述べました。企業はこれを真剣に受け止め、さらに調査する必要があります。
ヘルプ デスクが探す必要があるその他の信号は、CPU または冷却ファンの故障を引き起こす可能性のあるシステムの過熱です。 Laliberte 氏は、システムの過熱は CPU 使用率の高さによる損傷を引き起こし、デバイスの寿命を縮める可能性があると指摘しました。これは、タブレットやスマートフォンなどのモバイル デバイスに特に当てはまります。
ネットワーク監視ソリューションを導入します。
Vaystikh 氏によると、ほとんどの消費者向けエンドポイント ソリューションではクリプトジャッキングを検出できないため、企業ネットワークでのクリプトジャッキングはホーム ネットワークよりも検出が容易です。クリプトジャッキングはネットワーク監視ソリューションで簡単に検出でき、ほとんどの企業がネットワーク監視ツールを持っています。
しかし、ネットワーク監視ツールとデータがあっても、この情報を分析して正確に検出するためのツールと機能を備えている組織はほとんどありません。たとえば、SecBI はネットワーク データを分析し、クリプトジャッキングやその他の特定の脅威を検出する AI ソリューションを開発しました。
Laliberte 氏によると、クリプトジャッキングを検出するにはネットワーク監視が最適なオプションです。すべてのネットワーク トラフィックをレビューする境界監視ソリューションは、マイニングを検出する可能性が高くなります。多くの監視ソリューションは、各ユーザーをドリルダウンして、影響を受けるデバイスを特定します。
ファラル氏は、エンタープライズサーバーに、出口エンドポイントのネットワーク接続要求を監視するための信頼できるフィルターが装備されていれば、マルウェアを適切に検出できると述べた。ただし、マイナープログラマーはマルウェアを書き換えてこの検出方法を回避する能力を持っていると同氏は警告した。
Web サイトにマイニング ハイジャック コードが埋め込まれているかどうかを監視します。
ファラル氏は、クリプトジャッカーがWebサーバーにJavaScriptコードを埋め込もうとしていると警告している。サーバー自体は標的にされていませんでしたが、サイトを訪問する人は誰でも感染の危険にさらされていました。同氏は、企業が定期的に Web サーバーを監視してファイルの変更を確認したり、ページ自体に変更を加えたりすることを推奨しています。
クリプトジャッキングの動向について常に最新の情報を入手してください。
クリプトジャッキングの拡散方法とマイニング コード自体は常に進化しています。ファラル氏は、クリプトジャッキングソフトウェアとハイジャック行為について知ることは、企業がクリプトジャッキングを検出するのに役立つ可能性があると述べた。賢い企業は物事の最新の発展に遅れずについていきます。クリプトジャッキングの伝播メカニズムを理解していれば、特定のエクスプロイト キットがマイニング コードを送信していることがわかります。開発キットを保護することもクリプトジャッキングを防ぐ対策になります。
鉱山ハイジャック攻撃にどう対処するか?
Web サイトから送信される悪意のあるスクリプトをオフにしてブロックします。
ブラウザ内 JavaScript ハイジャッキング攻撃の場合、クリプトジャッキングが検出されたら、悪意のあるスクリプトを実行しているブラウザのタブを閉じる必要があります。 IT 部門は、スクリプトを送信する Web サイトの URL に注意し、それをブロックするように企業の Web フィルターを更新する必要があります。企業は、今後の攻撃を防ぐために、マイニング対策ツールの導入を検討できます。
ブラウザーのアドオンを更新してクリーンアップします。
ラリベルテ氏によると、プラグインがブラウザに感染した場合、タブを閉じても役に立たないという。この時点で、すべてのプラグインを更新し、不要なプラグインまたは感染したプラグインを削除します。
学んで適応してください。
転載・コンテンツ協力・報告依頼はreport@odaily.comまでご連絡ください。違法転載は法律により罰せられます。
転載・コンテンツ協力・報告依頼はreport@odaily.comまでご連絡ください。違法転載は法律により罰せられます。
