Interesul pentru cryptomalware a crescut in ultima vreme, aceasta crestere avand la baza doua aspecte semnificative: cresterea costului pentru energia electrica si volatilitatea ridicata a pietei cryptomonedelor ale caror preturi variaza masiv chiar de la o zi la alta. Devine din ce in ce mai putin rentabil sa investesti resurse proprii in minarea dupa cryptomonede. Hackerii recurg la folosirea resurselor altor persoane pentru a mina (curent electric, putere de procesare) cu zero investitii, si daca reusesc sa instaleze suficient de multi mineri, ar putea chiar sa obtina profituri frumoase.
Cryptomalware-ul nu este un malware in sine, scopul sau nefiind nici de a produce pagube victimei, nici de a o santaja si nici de a sustrage informatii confidentiale. Toate aceste actiuni ar indica in mod clar prezenta malware-ului pe un sistem, ori exact acest lucru nu isi doreste un malware de tip crypto. Aceasta specie de malware isi doreste sa aiba o amprenta cat mai mica si un profil cat mai redus, pentru a nu fi detectat de solutiile de protectie de tip antivirus instalate pe sistemul tinta, incercand sa nu lase deloc artefacte sau IoCs (indicators of compromise) care sa ii semnaleze prezenta.
De exemplu, pentru a nu lasa „urme” (fisiere) pe harddisk-ul victimei, multi atacatori isi construiesc malware-ul sa se instaleze doar in memoria RAM a sistemului sau folosesc tehnici de „process hollowing” prin care injecteaza cod malitios in procesele valide de pe sistem pentru a-si camufla prezenta si activitatea.
Detectarea cryptomalware-ului pe baza unor semnaturi este un „no brainer” pentru orice solutie de antivirus decenta de pe piata, indiferent ca semnatura este declansata de un fisier executabil sau de o extensie in browser. Insa malware-ul de tip fileless este mai dificil de detectat si necesita tehnici avansate de identificare. Una dintre acestea este analiza comportamentala a sistemului. Se poate stabili un tipar obisnuit de folosire a procesorului sistemului vizat. Orice deviatie de la acest tipar, poate insemna o activitate neobisnuita ce merita investigata. De exemplu, daca procesorul lucreaza la capacitatea maxima pentru o perioada lunga de timp, atunci cand laptopul nu este folosit de utilizator, cum ar fi noaptea sau in weekend. O alta tehnica ar fi auditarea conexiunilor de retea stabilite de sistemul tinta. Malware-ul se conecteaza periodic la servere „command and control” de-alea atacatorilor pentru a primi update-uri, noi instructiuni si noi task-uri de executat, cat si pentru a trimite rezultatul muncii lor. Astfel de conexiuni pot fi identificare de o solutie care are fluxuri de security intelligence actualizate la zi (domenii si adrese IP cunoscute ca surse de malware sau centre de comanda malitioase).
Primul nivel de protectie poate fi implementat la nivel de DNS. Cisco Umbrella, o solutie de securitate cloud-based, “vede” peste 500 de miliarde de request-uri de DNS in fiecare zi. O astfel de vizibilitate inseamna ca Cisco poate identifica domeniile si adresele IP malitioase si considerate ca puncte de lansare a cryptomalware-ului. Umbrella poate bloca categorii de trafic la nivel de DNS, eliminand riscul ca cryptomalware-ul sa aiba acces la infrastructura de minare. Un alt avantaj al solutiei cloud based de DNS este faptul ca Umbrella “vede” si domeniile noi, folosite de atacatori de obicei in campaniile masive de cryptomining si poate refuza conexiuni catre aceste servere din Internet. Campaniile se bazeaza pe infrastructuri de botnet-uri si servere de C2C pentru a livra payload-ul malitos.
Solutiile la nivel de endpoint pot complementa protectia oferita de Cisco Umbrella. Software-ul de cryptomining trebuie sa ajunga pe un host pentru a folosi resursele acestuia. Monitorizarea si analizarea continua a fisierelor si a proceselor de pe sistem ajuta la detectarea si blocarea minarii. Conexiunile initate catre software-ul de cryptomining catre serverele de C2C pot fi si ele blocate.
Reteaua in sine poate fi folosita ca un senzor pentru a identifica conexiunile cu servere care gazduiesc sau distribuie cryptomalware, inclusiv in traficul criptat. Prin mecanisme ca deep packet inspection, detectia anomaliilor, devieri de la baseline-ul normal si analizarea flow-urilor de trafic se pot detecta payload-urile malitioase ascunse in atasamente de email sau in soft-uri download-ate de pe Internet sau conexiunile catre serverele de C2C.
Solutiile de sandboxing si de analiza a fisierelor malware pot ajuta inginerii de securitate sa inteleaga modul de propagare a malware-ului, procesele, fisierele si locatiile accesate de pe sistem. Astfel, se pot construi reguli si semnaturi prin care sa se faca detectia fisierelor malitioase.
Cea mai buna protectie este oferita atunci cand aceste solutii sunt folosite impreuna si nu separat. Organizatia trebuie sa securizeze punctele de intrare in retea, ca si dispozitivele utilizatorilor. Utilizatorii trebuie sa beneficieze de protectie atat timp cat sunt conectati la retea din interiorul ei, dar si atunci cand sunt conectati remote. Portofoliul de securitate de la Cisco ofera companiei protectia necesara pentru a elimina riscurile cauzate de cryptomining-ul nedorit.
Mihai Dumitrascu, Sr Systems Engineer