Die Preisexplosion der Kryptowährungen brachte viele Gewinner hervor, in jüngster Zeit aber auch Verlierer, nachdem die Werte plötzlich einbrachen.

Eine Möglichkeit, sich abzusichern, ist das Krypto-Mining, bei dem Server und sogar Laptops von Endbenutzern mit der Verarbeitung von Transaktionen beauftragt werden, die für die Blockchain von grundlegender Bedeutung sind.

Wenn Endbenutzer bei der Arbeit Krypto-Mining durchführen, verbrauchen sie Ressourcen und schaffen eine Angriffsfläche.

Das SANs Institute hat ein Whitepaper veröffentlicht: Erkennung – Kryptowährungs-Mining in Unternehmensumgebungen, vollgepackt mit umsetzbaren Ratschlägen.

„Um Mining durchzuführen, muss man einen Client installieren, der die Blöcke berechnet und Zugang zum Internet hat.“ Die für das Mining verwendeten Tools und Anwendungen sind nicht ordnungsgemäß aufgebaut und daher nicht vertrauenswürdig. Die Tools und Anwendungen können Schwachstellen aufweisen, die ausgenutzt werden können, oder es können von den Entwicklern Hintertüren implementiert werden. Die Bereitstellung dieser Anwendungen und Tools in einer Unternehmensumgebung könnte möglicherweise schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Unternehmensumgebung haben. Besorgniserregend ist auch, dass der Benutzer, der das Mining einrichtet, dies tut, um auf Kosten der Unternehmensumgebung Geld zu verdienen. Daher kann es passieren, dass der Benutzer absichtlich die Sicherheitseinstellungen des Unternehmens umgeht“, erklärt er. Das SANs-Whitepaper erklärt.

Ich bin zum ersten Mal auf dieses Problem in einer Diskussion auf Reddit gestoßen, wo Systemadministratoren etwas geteilt haben ihre Erfahrungen und Ratschläge.

„Wir hatten kürzlich Probleme mit Mitarbeitern von Unternehmen, die wir verwalten, indem sie Krypto-Miner auf ihre Arbeitscomputer laden.“ Wir haben die EXE-Datei für die uns bekannten Programme wie LiteCoin Miner und einige andere blockiert, aber hat jemand von euch eine bessere Lösung, um diese aufzuspüren?“ fragte ein Administrator. An Trinkgeldern mangelte es nicht.

1. Portblockierung

Ein wichtiger Schutz besteht darin, Ports zu blockieren, die von der Mining-Anwendung verwendet werden. „Blockieren Sie alle Ports außer den benötigten von der Firewall, geben Sie den Benutzern keinen lokalen Administrator“, sagte er. Ein Administrator schlug vor.

2. App-Blockierung

Sie können Apps auch blockieren, wie der erste Benutzer empfohlen hat. „Es gibt Whitelist- und Blacklist-Software für Anwendungen, sodass Sie segmentieren können, was installiert werden kann und was Sie als Administrator ausführen können“, sagt er. ein anderer Benutzer hat geraten.

Ein anderer Benutzer hat etwas tiefer gegraben. „Sie können einen Blick auf die Softwareeinschränkungsrichtlinien werfen und grundsätzlich die Ausführung aller Anwendungen blockieren, die nicht von den Administratoren installiert/verwaltet werden.“

Andernfalls können Sie einfach die Ressourcen des Computers überwachen, um einen Hinweis auf eine ungewöhnlich hohe CPU-/GPU-Auslastung zu erhalten“, sagt er. Ein IT-Experte riet.

Microsoft AppLocker erhielt in dieser Abteilung viel Lob. „AppLocker trägt dazu bei, den Verwaltungsaufwand zu reduzieren und die Kosten des Unternehmens für die Verwaltung von Computerressourcen zu senken, indem es die Anzahl der Helpdesk-Anrufe verringert, die dadurch entstehen, dass Benutzer nicht genehmigte Anwendungen ausführen“, sagte er. Microsoft erklärte.

Ein Benutzer lobte die Lösung. „AppLocker ist eine wunderbare Sache.“ „Es ist nicht nur eine hervorragende Verteidigungslinie gegen Malware und Viren, sondern hilft auch bei Dingen wie Minern und anderer Software, die Sie im Allgemeinen nicht auf Ihren Computern ausführen“, sagt er. sagte ein AppLocker-Fan. „Verbringen Sie ein paar Stunden damit, AppLocker zu lernen.“ Ein paar weitere entwickeln einige Test-GPs und führen Pilotprojekte durch. Abhängig von der Größe und Art der Organisation könnten Sie es innerhalb von zwei Wochen einführen und Ihre Organisation vor einer Vielzahl von Angriffen schützen.“

3. Antivirus

Antivirenprogramme sind eine Schlüsselkomponente jeder Sicherheitsstrategie und ein Muss, um Krypto-Miner zu stoppen. „Ich arbeite bei einem MSP und unsere AV-Lösung fängt Bitcoin-Miner ab, bevor sie ausgeführt werden, oder wenn sie ausgeführt werden, stürzt sie ab und löscht die ausführbaren Dateien“, sagte er. sagte ein Benutzer. „Wir überwachen auch die CPU-Auslastung. Wenn die CPU-Auslastung also länger als eine Stunde nach Feierabend ansteigt, wenn der Endbenutzer am wahrscheinlichsten schürft, damit er während der Arbeit nicht auf seine eigenen Ressourcen zurückgreift, erhalten wir Tickets.“ “

Dieser Benutzer blockiert auch Apps. „Wir verfügen über Anwendungscompliance-Einstellungen, die alle installierten und ausgeführten Anwendungen auf jedem Computer und Server in unserer Umgebung überwachen. Wenn sie nicht auf der genehmigten Liste stehen, werden sie markiert und ein Ticket generiert.“

AV ist keine perfekte Verteidigung. „Herkömmliche AV blockiert viele Mining-Software, aber nicht alle.“ „Es besteht eine ziemlich gute Chance, dass dies von der AV/Überwachung als Sicherheitsereignis erkannt wird, selbst wenn es nicht blockiert wird“, sagt er. sagte ein Benutzer. „Wenn die CPU-Auslastung auf allen von uns überwachten Servern länger als eine Stunde bei 100 % lag, würde das NOC dies untersuchen.“

SANs stimmt zu, dass AV eine wichtige, aber bei weitem nicht perfekte Verteidigung ist. „Es ist sehr wichtig, die gesamte Antiviren- und Anti-Malware-Software auf dem neuesten Stand zu halten.“ „Einige Mining-Anwendungen werden von Antivirensoftware erkannt, aber das ist nicht bei allen Anwendungen der Fall, die für das Mining entwickelt werden“, erklärt er. SANs sagten.

Auch die Einschränkung von Privilegien ist von entscheidender Bedeutung. „Hostbasierte Administratorrechte sollten so weit wie möglich eingeschränkt werden.“ Wenn ein Benutzer keine Administratorrechte benötigt, sollte ihm dieser Zugriff nicht gewährt werden. Durch die Zugriffsbeschränkung können Benutzer keine (nicht autorisierte) Software installieren und kein Mining durchführen. „Ein Benutzer kann diese Einschränkung jedoch umgehen, indem er einen Privilege-Escalation-Angriff durchführt“, erklärt er. SANs sagten.

4. DNS-Schutz

Das SANs Institute schlägt einen tiefgreifenden Ansatz vor. „Der Schutz vor und die Erkennung von Kryptowährungs-Mining muss auf allen Ebenen der Umgebung erfolgen“, sagte er. argumentierte die Gruppe. Die DNS-Blockierung kann der Schlüssel sein, um Krypto-Miner zu stoppen, bevor sie starten. Die Überprüfung von IP-Adressen und DNS-Anfragen kann Hinweise liefern; Es ist jedoch wichtig zu beachten, dass DNS-Anfragen nur zu Beginn einer Mining-Sitzung erfolgen. Basierend auf den untersuchten Network-Mining-Anwendungen erfolgt die Kommunikation zwischen Clients und Server zyklisch, oft zwischen 30 und 100 Sekunden. „Das erste, was passiert, ist eine DNS-Anfrage, gefolgt von einer TCP-Kommunikation“, sagt er. SANs sagten

Das Blockieren von Domains ist heutzutage etwas, was kluge IT-Profis tun. „Wir blockieren neu gesehene Domains. Dies verhindert die meisten Arten von Malware, da die Software entweder überhaupt nicht installiert wird oder nicht ausgeführt wird, wenn sie ihre sich ständig ändernde Domäne nicht erreichen kann. „Das ist wirklich eine große Hilfe, nicht nur für das Krypto-Mining“, sagte er. sagte ein Reddit-Leser.

5. System- und CPU-Überwachung

„Der wahrscheinlich effektivste und beste Weg, Mining-Aktivitäten zu erkennen, ist die aktive Echtzeit-Leistungs- und Systemüberwachung.“

Kluge IT-Profis achten bereits auf hohe CPU-Lasten. „Wir überwachen die CPU-Auslastung und die Temperaturen.“ Wenn die CPU-Auslastung ungewöhnlich hoch ist oder die Temperatur über den Normalwert hinaus ansteigt, wird in unserem Überwachungssystem eine Warnung ausgelöst und ein Techniker greift per Fernzugriff auf den Computer zu, um herauszufinden, was vor sich geht. Meistens handelt es sich nicht um einen Krypto-Miner, sondern um ein Problem mit einer Anwendung. Es gibt uns die Möglichkeit, ein wenig proaktiv zu sein und Probleme etwas früher zu diagnostizieren und sogar mit der Diagnose zu beginnen, bevor Benutzer sich an den Helpdesk wenden“, sagt er. sagte ein Reddit-Besucher.

Es gibt einen Vorbehalt. Frühe Krypto-Miner haben die gesamte CPU verschlungen, wodurch sie für die eigentliche Arbeit praktisch unbrauchbar und leicht zu erkennen war. Neue Tools sind anpassbarer. „Während des Schreibens dieses Artikels wurden Anwendungen beobachtet und getestet, die es dem Benutzer ermöglichten, festzulegen, wie viel Arbeit die Mining-Anwendung ausführen durfte“, sagte er. SANs sagten.

Wie Pulseway hilft

Pulseway, das einzige Mobile-First-RMM, hilft auf verschiedene Weise, Krypto-Miner zu blockieren:

Pulseway überwacht die CPU-Auslastung und Administratoren können Regeln festlegen, um zu benachrichtigen, wenn die CPU-Auslastung über einen bestimmten Zeitraum ansteigt. Da die Kryptowährung die CPU-Auslastung auf einen hohen Prozentsatz steigern würde, können Sie eine Benachrichtigung einrichten und benachrichtigt werden, wenn die CPU beispielsweise 30 Minuten lang hoch ist.

Anti-Virus ist der Schlüssel. Kaspersky Anti-Virus von Pulseway erkennt, wenn Sie versuchen, eine Website zu öffnen, auf der ein Krypto-Mining-Skript ausgeführt wird. Und es blockiert die Website!

Schließlich kann Pulseway DNS verwenden, um Domänen und Websites zu blockieren, die mit dem Mining in Verbindung stehen. 

Erfahren Sie hier mehr über Endpunkt- und DNS-Schutz.