L’explosion des prix des crypto-monnaies a fait de nombreux gagnants, et plus récemment, des perdants après l’effondrement soudain des valeurs.
Beaucoup de gens couvrent leurs paris grâce au crypto mining, où les serveurs et même les ordinateurs portables des utilisateurs finaux sont utilisés pour traiter des transactions fondamentales pour la chaîne de blocs.
Si des utilisateurs finaux effectuent du crypto mining au travail, ils consomment des ressources et créent une surface d’attaque.
Le SANs Institute a publié un livre blanc, Détection – Extraction de crypto-monnaies dans les environnements d'entreprise, rempli de conseils pratiques.
« Pour effectuer du minage, il faut installer un client qui calcule les blocs et qui a accès à Internet. Les outils et applications utilisés pour le minage ne sont pas correctement construits, ce qui les rend peu fiables. Les outils et applications peuvent présenter des vulnérabilités qui peuvent être exploitées ou avoir des portes dérobées mises en œuvre par les créateurs. Le déploiement de ces applications et outils dans un environnement d'entreprise pourrait potentiellement entraîner de graves impacts sur la confidentialité, l'intégrité et la disponibilité de l'environnement d'entreprise. Ce qui est également inquiétant, c'est que l'utilisateur qui met en place le minage le fait pour gagner de l'argent au détriment de l'environnement de l'entreprise. En tant que tel, l'utilisateur peut intentionnellement contourner les paramètres de sécurité de l'entreprise », explique le livre blanc sur les SAN.
Je suis tombé sur ce problème pour la première fois lors d'une discussion sur Reddit où les administrateurs système partageaient leurs expériences et leurs conseils.
«Nous avons récemment eu des problèmes avec des employés des entreprises que nous gérons chargeant des mineurs de crypto sur leurs ordinateurs de travail. Nous avons bloqué le fichier .exe pour les programmes que nous connaissons comme LiteCoin Miner et quelques autres, mais l'un d'entre vous a-t-il une meilleure solution pour les détecter ? » » a demandé un administrateur. Les pourboires ne manquaient pas.
Une protection clé consiste à bloquer les ports utilisés par l’application minière. « Bloquez tous les ports du pare-feu à l'exception de ceux nécessaires, ne donnez pas aux utilisateurs l'administrateur local»,» » a suggéré un administrateur.
Vous pouvez également bloquer des applications, comme l’a conseillé le premier utilisateur. « Il existe des logiciels de list blanche et de list noire d'applications qui vous permettent de segmenter ce qui peut être installé et ce que vous pouvez exécuter en tant qu'administrateur»,» » a conseillé un autre utilisateur.
Un autre utilisateur a creusé un peu plus. « Vous pouvez consulter les politiques de restriction logicielle et bloquer l'exécution de toute application qui n'est pas installée/gérée par les administrateurs.
Sinon, vous pouvez simplement surveiller les ressources de l'ordinateur pour obtenir un indice d'une charge CPU/GPU inhabituellement élevée », a-t-il déclaré. » a conseillé un professionnel de l’informatique.
Microsoft AppLocker a reçu de nombreux éloges dans ce département. «AppLocker contribue à réduire les frais administratifs et les coûts de gestion des ressources informatiques de l'organisation en diminuant le nombre d'appels au service d'assistance résultant d'utilisateurs exécutant des applications non approuvées », Microsoft a expliqué.
Un utilisateur a vanté la solution. «AppLocker est une chose merveilleuse. 'C'est non seulement une excellente ligne de défense contre les logiciels malveillants et les virus, mais cela aide également contre des choses comme les mineurs et autres logiciels que vous n'exécutez généralement pas sur vos machines', a-t-il déclaré. » a déclaré un fan d’AppLocker. « Passez quelques heures à apprendre AppLocker. Quelques autres développements de tests généralists et de pilotage. Selon la taille et le type de l'organisation, vous pourriez le déployer en 2 semaines et protéger votre organisation contre une multitude d'attaques.
L’antivirus est un élément clé de toute stratégie de sécurité et est indispensable pour arrêter les mineurs de crypto. « Je travaille chez un MSP et notre solution audiovisuelle détecte les mineurs de Bitcoin avant qu'ils ne s'exécutent, ou s'ils sont en cours d'exécution, elle le plantera et supprimera les exécutables », » a déclaré un utilisateur. «Nous disposons également de moniteurs pour l'utilisation du processeur, donc si elle augmente pendant plus d'une heure après les heures normales, lorsque l'utilisateur final est le plus susceptible d'exploiter afin de ne pas puiser dans ses propres ressources pendant qu'il travaille, nous recevrons des tickets. »
Cet utilisateur bloque également les applications. « Nous avons mis en place des paramètres de conformité des applications qui surveillent toutes les applications installées et en cours d'exécution sur chaque ordinateur et serveur de notre environnement. Si elles ne figurent pas sur la list approuvée, elles sont signalées et un ticket est généré.
L'AV n'est pas une défense parfaite. «Les antivirus traditionnels bloquent de nombreux logiciels de minage, mais pas tous. 'Il y a de fortes chances que cela soit détecté par l'AV/surveillance comme un événement de sécurité, même s'il n'a pas été bloqué', a-t-il déclaré. » a déclaré un utilisateur. 'Sur tous les serveurs sur lesquels nous surveillons l'utilisation du processeur, si elle était à 100 % pendant plus d'une heure, le NOC l'examinerait.'
Les SAN conviennent que l’AV constitue une défense importante, mais loin d’être parfaite. « Il est très important de maintenir à jour tous les logiciels antivirus et anti-malware. Certaines applications minières seront détectées par un logiciel antivirus, mais ce n'est pas le cas de toutes les applications développées pour l'exploitation minière », a-t-il déclaré. » ont déclaré les SAN.
Limiter les privilèges est également essentiel. «Les privilèges administratifs basés sur l’hôte doivent être limités autant que possible. Si un utilisateur n'a pas besoin de privilèges administratifs, il ne doit pas bénéficier de cet accès. En limitant l'accès, les utilisateurs ne pourront pas installer de logiciels (non autorisés) et ne pourront pas effectuer de minage. Cependant, un utilisateur peut contourner cette limitation en effectuant une attaque par élévation de privilèges », a-t-il déclaré. » ont déclaré les SAN.
Le SANs Institute propose une approche en profondeur. 'La protection et la détection du minage de crypto-monnaies doivent être effectuées dans toutes les couches de l'environnement', a-t-il déclaré. » argumenta le groupe. Le blocage DNS peut être essentiel pour « arrêter les mineurs de crypto avant leur lancement ». L'inspection des adresses IP et des requêtes DNS peut fournir des indices ; cependant, il est important de noter que les requêtes DNS sont effectuées uniquement au début d'une session de minage. Sur la base des applications d'exploration de réseau examinées, la communication entre les clients et le serveur se produit de manière cyclique, souvent entre 30 et 100 secondes. La première chose qui se produit est une requête DNS suivie d'une communication TCP », Les SAN ont dit
Le blocage de domaines est quelque chose que font les professionnels de l’informatique intelligents de nos jours. «Nous bloquons les domaines nouvellement vus. Cela empêche la plupart des types de logiciels malveillants, car le logiciel ne s'installera pas du tout ou ne s'exécutera pas s'il ne peut pas atteindre son domaine en constante évolution. 'C'est vraiment d'une grande aide, pas seulement pour le minage de cryptomonnaies', a-t-il ajouté. » a déclaré un lecteur de Reddit.
« Le moyen le plus efficace et le meilleur de détecter les activités minières est probablement la surveillance active des performances et du système en temps réel. »
Les professionnels de l'informatique intelligents recherchent déjà de lourdes charges CPU. « Nous surveillons l'utilisation et les températures du processeur. S'il y a une utilisation anormale du processeur ou si la température commence à augmenter plus haut que la normale, cela déclenche une alerte dans notre système de surveillance et un technicien se connectera à distance à l'ordinateur pour savoir ce qui se passe. La plupart du temps, il ne s’agit pas d’un mineur de crypto mais plutôt d’un problème avec une application. Cela nous donne la possibilité d'être un peu proactifs et de diagnostiquer les problèmes un peu plus tôt, et même de commencer à diagnostiquer avant que les utilisateurs ne contactent le service d'assistance », a déclaré M. » a déclaré un visiteur de Reddit.
Il y a une mise en garde. Les premiers mineurs de crypto-monnaie consommaient tout le processeur, le rendant pratiquement inutile pour un travail réel et facile à repérer. Les nouveaux outils sont plus personnalisables. 'Lors de la rédaction de cet article, les applications permettant à l'utilisateur de configurer la quantité de travail que l'application minière était autorisée à effectuer ont été observées et testées', a-t-il déclaré. » ont déclaré les SAN.
Pulseway, le seul RMM axé sur le mobile, aide à bloquer les crypto-mineurs de plusieurs manières :
Pulseway surveille l'utilisation du processeur et les administrateurs peuvent définir des règles pour avertir en cas de pic pendant une période de temps particulière. Étant donné que la crypto-monnaie augmenterait l'utilisation du processeur à un pourcentage élevé, vous pouvez définir une notification et être alerté lorsque le processeur est élevé pendant, disons, 30 minutes.
L'antivirus est la clé. Kaspersky Anti-Virus de Pulseway détecte lorsque vous essayez d'ouvrir un site Web qui exécute un script de crypto mining. Et ça bloque le site web !
Enfin, Pulseway peut utiliser le DNS pour bloquer les domaines et sites associés au minage.
Apprenez-en davantage sur la protection des points de terminaison et DNS ici.
Partager sur
Découvrez nos dernières histoires de notre blog que nos éditeurs ont sélectionnées pour vous