Обнаружение криптоджекинга с помощью Progress Flowmon
Автор: Филип Черны Опубликовано 28 февраля 2024 г. 0 комментариев
В постоянно меняющемся ландшафте
угроз кибербезопасности криптоджекинг стал скрытым и финансово мотивированным методом атаки. В атаках такого типа киберпреступники захватывают серверы (или конечные устройства), чтобы использовать вычислительные ресурсы для «майнинга» криптовалют. Они получают финансовую выгоду от этой деятельности, когда продают недавно созданные валюты.
Когда это происходит, компьютеры истощаются
от ресурсов, необходимых для обслуживания вашего бизнеса, плюс вы тратите больше на захваченные ресурсы питания, охлаждения и вычислений.
Каковы некоторые немедленные действия для обнаружения этой агрессивной и разрушительной деятельности? Progress Flowmon может помочь Где рекламодатели соблюдают все, что они собрали с разрешенных сайтов и продвигали свой продукт/услугу для увеличения продаж — например, UserEngage Библиотека телефонных номеров мира (Вкл. означает, что мы Данные электронной почты собрали все возможные данные пользователей в одном окне, а в других средствах Качество Превышение количества в библиотеке телефонных номеров позволяет вам получать бизнес-лиды). Мы также периодически перезапускали нашу библиотеку телефонных номеров. Последнее обновление 2024 г. Вся библиотека телефонных номеров Все данные соответствуют требованиям GDRP Купить эту низкую цену здесь. вашей ИТ-команде лучше обнаруживать и останавливать заражения криптоджекингом в вашей сети. Читайте дальше, чтобы узнать, как Flowmon помогает облегчить это, обнаруживая действия даже самых сложных вредоносных программ для криптоджекинга.
Что такое криптоджекинг?
Криптоджекинг — это тип кибератаки, при котором злоумышленники используют уязвимости системы для добычи криптовалюты без ведома целевой организации. Криптоджекинг не только использует ресурсы скомпрометированных систем, но и указывает на более широкие проблемы безопасности, которые могут использовать другие типы атак, такие как программы-вымогатели.
В одном из примеров злоумышленники могут использовать
атаку типа «отказ в обслуживании» (DoS), например, поток синхронизации (SYN), чтобы создать отвлекающий маневр. Эта тактика заваливает целевые серверы чрезмерными запросами, создавая шум и отвлекающие факторы, что затрудняет обнаружение традиционными инструментами мониторинга более опасных эксплойтов, происходящих одновременно.
Анатомия атаки криптоджекинга
Как показано в видео ниже, типичная атака криптоджекинга проходит в несколько этапов. Давайте разберем ее:
DoS-дымовая завеса — злоумышленник запускает малообъемную атаку DoS, например поток SYN. Это создает шум и отвлекающие факторы в сети, которые маскируют истинные намерения злоумышленников: компрометация уязвимого сервера в вашей демилитаризованной зоне (DMZ).
Эксплуатация уязвимости. Используя распространенный вектор атаки, такой как атака по словарю на протокол удаленного рабочего стола (RDP), киберпреступник использует неисправленную уязвимость, чтобы получить полный доступ к целевому серверу.
Развертывание полезной нагрузки криптоджекинга. Получив защищенный доступ, злоумышленник развертывает вредоносный код, незаметно превращая сервер в узел майнинга криптовалюты.
Ограничения базовых инструментов мониторинга
Инструменты мониторинга ИТ-инфраструктуры имеют важное значение для достижения оптимальной производительности и доступности. Однако они могут не обнаружить едва заметные признаки криптоджекинга. Из-за дополнительного шума от DoS-атаки средняя метрика использования ЦП, зарегистрированная базовыми инструментами мониторинга, может не сразу вызвать какие-либо оповещения. А скачки ЦП от вредоносного ПО для криптоджекинга часто остаются незамеченными даже после окончания DoS-атаки.
Обнаружение криптоджекинга с помощью Flowmon
Система обнаружения аномалий Flowmon (ADS) предлагает надежное решение для улучшенного обнаружения и анализа действий по криптоджекингу. Вот как помогает Flowmon:
Анализ данных сетевой телеметрии. Flowmon использует данные сетевой телеметрии, включая данные экспорта информации об IP-потоке (IPFIX), дополняя их потоками угроз и сигнатурами атак. Этот сбор данных формирует основу для подробного анализа.
Расширенные алгоритмы обнаружения. Flowmon использует сложные алгоритмы для обработки собранных данных, предоставляя высокоуровневые аналитические данные и полезную информацию. Сюда входят ссылки на распространенные уязвимости и воздействия (CVE) и сведения о структуре MITRE ATT&CK, необходимые для судебно-медицинского расследования.
Обнаружение необычной активности. В отличие от общих Услуги массовых СМС-рассылок для компаний инструментов мониторинга ИТ-инфраструктуры, Flowmon ADS помогает обнаруживать ключевые события безопасности. Например, хотя панель мониторинга использования ЦП может показывать всплеск нагрузки на сервер из-за майнинга криптовалюты, это можно легко пропустить или неправильно истолковать в стандартной настройке мониторинга. Однако Flowmon может эффективно выявлять такие аномалии.
Сводка событий и подробный анализ. В системе обнаружения аномалий Flowmon (Flowmon ADS) пользователи могут просматривать сводку событий, которая дает более четкую картину действий под видом DoS-атаки. Сюда входит обнаружение событий атаки по agent email list словарю и фактическая деятельность по майнингу.
Прямая интеграция и визуализация инцидентов.
Интеграция Flowmon с другими инструментами мониторинга, такими как Progress WhatsUp Gold, позволяет упростить переход от общего мониторинга ИТ к целенаправленному анализу безопасности. Пользователи могут просматривать несколько событий как один инцидент, понимая, как DoS-атака маскирует другие эксплойты.
Детали криминалистики и шаги по исправлению. Flowmon предоставляет подробные сведения о характере атаки, например, об использовании уязвимостей RDP (например, BlueKeep). Эта информация имеет решающее значение для планирования шагов по исправлению, таких как исправление и обновление систем для устранения пробелов в безопасности.
Понимание более широкого воздействия. Анализ можетСписок адресов электронной почты стран
