마이닝 하이재킹이라고도 알려진 크립토재킹은 암호화폐를 채굴하기 위해 다른 사람의 컴퓨터를 무단으로 사용하는 것입니다.
일반적으로 해커는 피해자가 이메일의 악성 링크를 클릭하도록 하여 컴퓨터에 암호화폐 채굴 코드를 로드하거나 피해자의 브라우저에 로드될 때 자동으로 실행되는 JavaScript 코드로 웹사이트 또는 온라인 광고를 감염시킵니다.
어느 쪽이든, 의심하지 않는 피해자가 컴퓨터를 정상적으로 사용할 수 있는 동안 마이닝 코드는 백그라운드에서 실행됩니다. 그들이 알아차릴 수 있는 유일한 징후는 컴퓨터 성능 저하 또는 실행 지연입니다.
광산 도용 사건이 끊이지 않는 이유는?
해커들이 크립토재킹을 통해 얼마나 많은 암호 화폐를 채굴했는지 아무도 모르지만 그 관행이 증가하고 있다는 데는 의심의 여지가 없습니다.
브라우저 기반 크립토재킹이 빠르게 성장하고 있습니다.자료에 따르면 지난해 11월Adguard 보고서, 브라우저 내 크립토재킹은 31% 증가했습니다. Adguard 연구에 따르면 총 33,000개의 웹사이트가 마이닝 하이재킹 스크립트를 실행하고 있으며 이러한 웹사이트의 월간 방문 횟수는 10억에 달하는 것으로 추정됩니다. 올해 2월,Bad Packets ReportCoinhive를 실행하는 34,474개의 사이트가 발견되었습니다. Coinhive는 가장 인기 있는 JavaScript 마이닝 프로그램이며 합법적인 암호화폐 마이닝 활동에도 사용됩니다.
사이버 보안 솔루션 제공업체인 WatchGuard Technologies의 위협 인텔리전스 분석가인 Marc Laliberte는 "암호화폐 채굴은 초기 단계에 있으며 아직 성장하고 발전할 여지가 많습니다. 한 달에 미화 300,000달러의 가치.
"그 이후로 코인하이브는 매우 빠르게 성장했습니다. 이런 식으로 돈을 버는 것은 정말 쉽습니다."
1월에 연구원들은 발견했습니다.Smominru암호화폐 채굴 봇넷인 이 웜은 주로 러시아, 인도, 대만에서 500,000대 이상의 컴퓨터를 감염시켰습니다. 봇넷의 목표는 Windows 서버에서 Monero를 채굴하도록 하는 것입니다. 사이버 보안 회사인 Proofpoint는 1월 말 현재 360만 달러의 가치를 창출했다고 추정합니다.
크립토재킹에는 상당한 기술적 능력이 필요하지도 않습니다.Digital Shadows 보고서에 따르면 "새로운 골드러시: 사기의 새로운 개척지가 된 암호화폐"라고 말하면서 광산 하이재킹 키트는 다크 웹에서 30달러에 판매되고 있습니다.
크립토재킹이 해커들에게 점점 더 인기를 얻고 있는 한 가지 이유는 적은 위험으로 더 많은 돈을 지불하기 때문입니다.게다가,
게다가,또한 크립토재킹은 랜섬웨어보다 탐지 및 식별 위험이 훨씬 적습니다.마이닝 코드는 자동으로 실행되며 오랫동안 발견되지 않을 수 있으며, 발견되더라도 소스를 역추적하기 어렵습니다. 도난당하거나 암호화된 것이 없기 때문에 피해자는 역추적할 동기가 거의 없습니다.해커는 Monero 및 Zcash와 같은 익명의 암호 화폐를 선택하는 경향이 있습니다., 이러한 통화 뒤에 불법 활동을 추적하기 어렵기 때문입니다.
크립토재킹은 어떻게 발생합니까?
해커가 피해자의 컴퓨터에서 암호화폐를 조용히 채굴하도록 할 수 있는 두 가지 주요 방법이 있습니다.
한 가지 방법은 피해자를 속여 마이닝 코드를 컴퓨터에 로드하도록 하는 것입니다.하이재킹은 피싱과 유사한 방법을 통해 수행됩니다. 피해자는 링크를 클릭하도록 유도하는 합법적인 것처럼 보이는 이메일을 받습니다. 이 링크는 마이닝 스크립트를 컴퓨터에 로드하는 코드를 실행합니다. 마이닝 스크립트 코드는 피해자가 컴퓨터를 사용하는 동안 백그라운드에서 실행될 수 있습니다.
또 다른 방법은 대량 배포가 가능한 웹 사이트나 광고에 스크립트를 배치하는 것입니다.피해자가 감염된 웹사이트를 방문하거나 브라우저에 팝업되는 광고를 클릭하면 스크립트가 자동으로 실행됩니다. 피해자의 컴퓨터에는 코드가 저장되지 않습니다.
어떤 방법을 사용하든 채굴 코드는 피해자의 컴퓨터를 이용해 채굴하고 그 결과를 해커가 제어하는 서버로 보낸다.
해커는 일반적으로 두 가지 방법을 모두 사용하여 수익을 극대화합니다.Vaystikh는 "공격자는 피해자의 컴퓨터에 보다 안정적이고 지속적인 맬웨어를 전달하기 위한 대안으로 맬웨어 기술을 사용합니다. 예를 들어, 해커를 위해 암호화폐를 채굴하는 100개의 장치 중 10%는 피해자를 통과할 수 있습니다. 장치는 웹 브라우저를 통해 90%의 수익을 창출합니다.
대부분의 다른 유형의 맬웨어와 달리크립토재킹 스크립트는 컴퓨터나 피해자의 데이터에 해를 끼치지 않습니다. CPU 처리 리소스를 훔칩니다.개별 사용자의 경우 느린 컴퓨터 성능은 성가신 일일 수 있습니다.기업의 경우 마이닝을 위해 많은 시스템이 하이재킹되면 비용이 증가할 수 있습니다.문제를 해결하기 위해 헬프 데스크와 IT 부서는 성능 문제를 추적하고 구성 요소나 시스템을 교체하는 데 시간을 보냅니다.
실제 마이닝 하이재킹 사례
크립토재킹은 영리하며 다른 사람의 컴퓨터를 악용하여 암호 화폐를 채굴하는 많은 계획을 고안합니다. 대부분의 수법은 새로운 것이 아니며 전파 방법은 일반적으로 랜섬웨어 또는 애드웨어와 같은 다른 맬웨어의 방법에서 차용됩니다. 실제 사례는 다음과 같습니다.
불량 직원이 회사 시스템을 탈취합니다.
올해 EmTech Digital Conference에서,Darktrace가 전하는 유럽 은행의 이야기. 은행 서버는 비정상적인 트래픽을 경험하고 밤새 느리게 실행되었지만 은행의 진단 도구는 비정상적인 것을 발견하지 못했습니다. 그 시간 동안 Darktrac은 은행이 없다고 말했지만 새로운 서버가 온라인 상태가 되었음을 발견했습니다. 마지막으로 Darktrac이 데이터 센터를 물리적으로 검사했을 때 불량 직원이 바닥 아래에 암호 화폐 채굴 시스템을 구축한 것이 발견되었습니다.
사용GitHub는 마이닝 소프트웨어를 확산
3월에 Avast Software는 다음과 같이 보고했습니다.Cryptojacking은 GitHub를 악성 마이닝 소프트웨어의 호스트로 사용하고 있습니다.. 합법적인 프로젝트를 찾아 포크를 만든 다음 해당 포크의 디렉터리 구조에 악성코드를 숨깁니다. 크립토재커는 Flash 플레이어를 업데이트하라는 알림을 보내거나 성인 게임 웹사이트를 사칭하는 등의 피싱 수법을 사용하여 사용자가 맬웨어를 다운로드하도록 유인합니다.
rTorrent 취약점 악용
크립토재커는 XML-RPC 통신 인증 없이 일부 rTorrent 클라이언트에 액세스할 수 있는 rTorrent 구성 오류 취약점을 발견했습니다. 인터넷에서 패치되지 않은 클라이언트를 검색한 다음 Monero 마이닝 소프트웨어를 배포합니다.F5 Networks이 취약점은 2월에 보고되었으며 rTorrent 사용자는 클라이언트가 외부 연결을 허용하지 않도록 확인해야 합니다.
Chrome 악성 플러그인 Facexworm
트렌드마이크로트렌드마이크로암호화폐 거래소를 대상으로 하는 여러 Facexworm이 발견되었으며 암호화폐 채굴 코드를 유포할 수 있습니다. 여전히 감염된 Facebook 계정을 사용하여 악성 링크를 유포하지만 웹 계정과 자격 증명을 훔쳐 해당 페이지에 크립토재킹 코드를 심을 수도 있습니다.
폭력적인 마이닝 바이러스 WinstarNssmMiner
5월에360 경비원빠르게 확산될 수 있는 마이닝 하이재킹 프로그램인 WinstarNssmMiner를 발견했습니다. 이 악성 프로그램의 특징은 이를 제거하면 피해자의 컴퓨터가 충돌한다는 것입니다. WinstarNssmMiner는 먼저 svchost.exe 프로세스를 시작하고 여기에 코드를 삽입한 다음 프로세스의 속성을 CriticalProcess로 설정합니다. 컴퓨터는 이를 중요한 프로세스로 간주하기 때문에 프로세스가 강제 종료되면 컴퓨터에 블루 스크린이 표시됩니다.
마이닝 하이재킹을 방지하는 방법은 무엇입니까?
다음 단계를 따르면 회사가 마이닝을 위해 하이재킹될 위험을 최소화할 수 있습니다.
기업 보안 인식 교육에는 피싱을 통해 마이닝 스크립트를 사용자의 컴퓨터에 로드하는 하이재킹 방법에 중점을 둔 크립토재킹 위협에 대한 내용이 포함되어야 합니다.
Laliberte는 교육이 도움이 될 것이며 피싱이 공격자가 모든 종류의 맬웨어를 전달하는 주요 방법이 될 것이라고 생각합니다. Vaystikh는 합법적인 웹 사이트를 방문하여 자동으로 크립토재킹을 수행하는 방법에 대해 사용자에게 방문할 수 없는 웹 사이트를 알려줄 방법이 없기 때문에 교육이 효과적이지 않다고 말했습니다.
웹 브라우저에 광고 차단 또는 채굴 방지 플러그인을 설치하십시오.
크립토재킹 스크립트는 온라인 광고를 통해 확산되는 경우가 많기 때문에 광고 차단기를 설치하는 것이 효과적인 방지 수단이 될 수 있습니다. Ad Blocker Plus와 같은 광고 차단기는 마이닝 스크립트를 탐지하는 기능이 있습니다. Laliberte는 마이닝 스크립트를 감지하고 차단할 수 있는 No Coin 및 MinerBlock과 같은 브라우저 플러그인을 권장합니다.
알려진 채굴자를 탐지할 수 있는 엔드포인트 보호 기술을 사용합니다.
많은 엔드포인트 보호/안티바이러스 소프트웨어 공급업체는 채굴자를 탐지하는 기능을 추가했습니다. Anomali의 보안 전략 책임자인 Travis Farral은 "안티바이러스는 엔드포인트가 크립토재킹을 방지할 수 있는 방법 중 하나입니다. 프로그램이 알려져 있으면 탐지될 가능성이 높습니다."라고 말했습니다.
웹 필터링 도구를 업데이트합니다.
웹사이트가 마이닝 스크립트를 실행 중인 것으로 확인되면 모든 사용자가 해당 웹사이트를 다시 방문하지 않도록 하십시오.
브라우저 플러그인을 유지하십시오.
일부 공격자는 암호화폐 채굴 스크립트를 실행하기 위해 악성 브라우저 플러그인 또는 감염된 합법적 플러그인을 사용하고 있습니다.
MDM(모바일 장치 관리) 솔루션을 사용하여 사용자 장치에 있는 항목을 더 잘 제어할 수 있습니다.
BYOD(Bring Your Own Device) 정책은 불법 암호화폐 채굴을 방지하는 데 효과적일 수 있습니다. Laliberte는 MDM이 장기적으로 BYOD 보안을 유지할 수 있다고 믿습니다. MDM 솔루션은 회사가 사용자 장치에서 앱과 플러그인을 관리하는 데 도움이 될 수 있습니다. MDM 솔루션은 대기업을 대상으로 하는 경향이 있으며 소규모 기업은 이를 감당할 수 없는 경우가 많습니다. 그러나 Laliberte는 모바일 장치가 데스크톱 컴퓨터 및 서버만큼 위험하지 않다고 지적했습니다. 모바일 장치는 처리 능력이 떨어지는 경향이 있기 때문에 해커에게 그다지 유리하지 않습니다.
크립토재킹을 감지하는 방법은 무엇입니까?
랜섬웨어와 마찬가지로 기업은 크립토재킹을 방지하기 위한 최선의 노력에도 불구하고 영향을 받을 수 있습니다. 기업이 크립토재킹을 탐지하기 어려울 수 있으며, 특히 소수의 시스템만 손상된 경우에는 더욱 그렇습니다. 작동하는 방법은 다음과 같습니다.
크립토재킹의 징후를 발견하도록 헬프 데스크를 교육하십시오.
SecBI의 Vaystikh는 종종 크립토재킹의 첫 징후는 헬프데스크가 사용자로부터 컴퓨터 성능 저하에 대한 불만을 접수할 때라고 말했습니다. 기업은 이를 심각하게 받아들이고 추가 조사를 해야 합니다.
헬프 데스크가 찾아야 하는 다른 신호는 CPU 또는 냉각 팬 고장을 일으킬 수 있는 시스템 과열입니다. Laliberte는 시스템이 과열되면 높은 CPU 사용량으로 인해 손상이 발생할 수 있고 장치의 수명이 단축될 수 있다고 지적했습니다. 태블릿, 스마트폰과 같은 모바일 장치의 경우 특히 그렇습니다.
네트워크 모니터링 솔루션을 배포합니다.
Vaystikh에 따르면 기업 네트워크의 크립토재킹은 대부분의 소비자 엔드포인트 솔루션이 탐지할 수 없기 때문에 홈 네트워크보다 탐지하기 쉽습니다. 크립토재킹은 네트워크 모니터링 솔루션으로 쉽게 감지할 수 있으며 대부분의 비즈니스에는 네트워크 모니터링 도구가 있습니다.
그러나 네트워크 모니터링 도구와 데이터가 있더라도 정확한 탐지를 위해 이 정보를 분석할 수 있는 도구와 기능을 가진 조직은 거의 없습니다. 예를 들어 SecBI는 네트워크 데이터를 분석하고 크립토재킹 및 기타 특정 위협을 감지하는 AI 솔루션을 개발했습니다.
Laliberte에 따르면 네트워크 모니터링은 크립토재킹을 탐지하는 가장 좋은 옵션입니다. 모든 네트워크 트래픽을 검토하는 경계 모니터링 솔루션은 마이닝을 탐지할 가능성이 더 높습니다. 많은 모니터링 솔루션은 각 사용자를 자세히 분석하여 어떤 장치가 영향을 받는지 확인합니다.
Farral은 엔터프라이즈 서버에 송신 엔드포인트의 네트워크 연결 요청을 모니터링하는 신뢰할 수 있는 필터가 장착되어 있으면 멀웨어를 잘 탐지할 수 있다고 말했습니다. 그러나 그는 마이너 프로그래머가 이 탐지 방법을 우회하기 위해 맬웨어를 다시 작성할 수 있는 능력이 있다고 경고했습니다.
귀하의 웹사이트에 마이닝 하이재킹 코드가 이식되었는지 모니터링하십시오.
Farral은 cryptojackers가 웹 서버에 일부 Javascript 코드를 심으려고 시도하고 있다고 경고합니다. 서버 자체는 대상이 아니었지만 사이트를 방문하는 모든 사람이 감염될 위험이 있었습니다. 그는 기업이 정기적으로 웹 서버에서 파일 변경 사항을 모니터링하거나 페이지 자체를 변경할 것을 권장합니다.
크립토재킹 동향에 대한 최신 정보를 얻으십시오.
크립토재킹이 확산되는 방식과 마이닝 코드 자체는 지속적으로 진화하고 있습니다. 크립토재킹 소프트웨어와 하이재킹 행동에 대해 알면 회사가 크립토재킹을 탐지하는 데 도움이 될 수 있다고 Farral은 말했습니다. 정통한 비즈니스는 사물의 최신 개발을 유지합니다. 크립토재킹의 전파 메커니즘을 이해한다면 특정 익스플로잇 킷이 마이닝 코드를 전송하고 있음을 알 수 있습니다. 개발 키트를 확보하는 것도 크립토재킹을 방지하기 위한 조치가 될 것입니다.
마이닝 하이재킹 공격에 대처하는 방법은 무엇입니까?
웹 사이트에서 보낸 악성 스크립트를 끄고 차단합니다.
브라우저 내 JavaScript 하이재킹 공격의 경우 크립토재킹이 감지되면 악성 스크립트를 실행하는 브라우저 탭을 닫아야 합니다. IT 부서는 스크립트를 보내는 웹 사이트의 URL에 주의를 기울이고 이를 차단하도록 기업의 웹 필터를 업데이트해야 합니다. 기업은 미래의 공격을 방지하는 데 도움이 되는 채굴 방지 도구를 배포하는 것을 고려할 수 있습니다.
브라우저 추가 기능을 업데이트하고 정리합니다.
플러그인이 브라우저를 감염시키는 경우 탭을 닫아도 도움이 되지 않는다고 Laliberte는 말했습니다. 모든 플러그인을 업데이트하고 원치 않거나 감염된 플러그인을 제거할 때입니다.
배우고 적응하십시오.
무단전재/콘텐츠협업/제보요청은 report@odaily.com으로 연락주시면 불법전재시 법적 처벌을 받을 수 있습니다.
무단전재/콘텐츠협업/제보요청은 report@odaily.com으로 연락주시면 불법전재시 법적 처벌을 받을 수 있습니다.
