Detect Cryptocurrency miner in your environment

Recommendation: Use automated tools to detect inappropriate VMs usage

01/03/2021
CVE
חשיבות
None
None
מושפעים מרכזיים
משאבי הארגון

המלצה:

בדקו האם משאבי הארגון שלכם משתמשים לכריית מטבעות וירטואליים ללא ידיעתכם, זהו ומגרו שימושים לא ראויים במשאבי הארגון למטרות כריית מטבעות וירטואליים.

מידע על הפרצה:

מעבר לכך ששימוש במשאבי הארגון לצורך כריית מטבעות דורש כוח עיבוד חריג - דבר המגדיל את הוצאות החשמל בחברה – בהנחה ומדובר בחווה מקומית, או מגדיל את עלות השימוש בכוח העיבוד, Compute, במכונות בענן, מדובר כאן על פרצה אבטחתית אשר יכולה לסכן את משאבי הארגון הרגישים.
בעוד שמשתמשים כורים מטבעות (Crypto mining) על מחשבי/שרתי הארגון, קיימים סוגי Botnets אשר מנצלים את הפתיחות בתעבורת הרשת הנוצרת מכריית המטבעות (תהליך שנקרא Blockchain Transaction) ובכך מצליחים להשתחל לארגון מתחת לפני השטח ולהישאר חבויים בעוד שמערכות ההגנה לא יצליחו לזהות אותם כגורם חשוד המזיק לארגון כולו.
בנוסף, אותם Botnets מצליחים, בעזרת ניצול נקודת תורפה ב- RCE (Remote Code Execution) הקיימות בתוכנות מוכרות שאינן מבצעות עדכוני אבטחה לעיתים תכופות, להצליח להשתיל את כתובות התוקף (C2 IP addresses) להתקשרות מתוך הסביבה אל מחוצה לה, ובכך לאפשר לתוקף להשיג שליטה ונתונים רגישים אודות הארגון, משתמשיו ושירותיו.

הדרכים לזיהוי:

קיימות דרכים רבות לזיהוי כרייה. השתיים המובילות הן:

Azure Security Center Alerting (ASC) – בעזרת ASC (ובעזרת כלי ניטור תהליכים נוספים), ניתן לבצע ניטור עבור תהליכים חשודים אשר מתרחשים ברחבי הרשת. שימוש לא ראוי בתהליכים חשודים, מיד יקפיץ התראה על כך. בהמשך המאמר נראה חלק מדרכי האכיפה.
ניטור שימוש בכוח עיבוד רב בענן / בסביבה הלוקאלית – בהנחה שאנו מכירים את שימושי הארגון, נוכל לזהות בעזרת כלי ניתוח ביצועים האם מתבצע שימוש לא ראוי במשאבי הארגון שלא לצורך הארגוני. דוגמאות לכלים אלו יש לא מעט, וביניהם:
1. Minerchk – תוכנה מבוססת Bash script אשר ניתן בעזרתה לזהות על ידי הרצתה על משאבי הארגון, והיא בתגובה מזהה כריית מטבעות וירטואליים בשרתים.
2. Zeek-Cryptomining – תוכנה נוספת המזהה שימוש גבוה בתעבורת רשת לצורך כריית מטבעות וירטואליים.
3. Performance Analyzer – כלי נוסף שבעזרתו ניתן לקבל חתך שימושים בכוח העיבוד על שרתי הארגון, ובכך להסיק שימושים לא ראויים של המשאבים השונים.

דרכי האכיפה/טיפול לאחר זיהוי:

דרכי האכיפה לשימוש לא ראוי במשאבי הארגון הינן שונות ומגוונות:
1. שימוש בתוכנת EPP – וודאו כי על כלל משאבי הארגון (עמדות קצה ושרתים) מותקן רכיב EPP (End Point Protection) מעודכן אשר מזהה אנומליות בשימוש בתהליכים זדוניים. זיהוי תהליכים זדוניים מפחית אירועי סייבר בצורה דרמטית.
2. עדכוני אבטחה עיתיים – לאחר מכן, וודאו כי משאבי הארגון מבצעים תהליך עיתי של עדכוני האבטחה מהסיבה שאם כבר ישנו תוקף ברשת, הוא יתקשה להשתמש בחולשות מוכרות של מערכות ההפעלה והתוכנות שבשימוש הארגון לצורך ניצולם כנגד הארגון כולו.
3. מדיניות הרצת סקריפטים במשאבי הארגון – כדי למנוע הרצת סקריפטים שלא על ידי מנהלי הארגון, וודאו כי מוכלת חוקה בעמדות הקצה ושרתי הארגון לצורך מניעת שימוש בסקריפטים וללא ידיעת אנשי האבטחה הארגוני.
4. חוקת סיסמאות הארגון – בהנחה שזיהינו שימוש במשאבים ארגוניים לצורך כריית המטבעות, נבצע איפוס סיסמא לכלל המשתמשים המחוברים למכונות המעורבות, ובנוסף לכך, נמליץ על וידוא חוקת הסיסמאות הארגונית עפ"י המלצות היצרן (שימוש בסיסמאות מורכבות, שימוש באימות דו/רב שלבי, וכדו').

לסיכום

זיהוי מוקדם של שימוש חריג במשאבי הארגון למטרת כריית מטבעות וירטואליים או לשאר המטרות אשר לא משמשות את הארגון יכול בהחלט למגר את הסיכון של הארגון להיות חשוף למתקפות סייבר אגרסיביות, אשר לעיתים הדרך לשחזר למצב הראשוני הינה בלתי אפשרית.

מקור פרסום החולשה:

Microsoft Azure Blog
נכתב ע״י Shlomi Halif

Security Engineer

פוסטים נוספים

12/04/2021
Privilege escalation vulnerability in Azure Function

בעזרת מניפולציות בסיסיות ושימוש בכלים סטנדרטיים המורשים לכל חשבון בעל הרשאות נמוכות
(non-privileged accounts) במערכת ההפעלה, ניתן לבצע הזרקה של תוכן זדוני אשר יכול להשפיע באופן נרחב על ה-Docker כולו, וכל זאת ללא ידיעת מנהלי האבטחה בארגון.

30/03/2021
GDPR UNSECURE IMPLEMENTATION

GDPR (General Data Protection Regulation) הינה רגולציית ההגנה על הפרטיות של האיחוד האירופאי, המחייבת ארגונים להגן על מידע אישי שברשותם. במאמר זה נתרכז בבקרה המחייבת חברה לאפשר לאזרח (נשוא המידע) לאחזר את כל המידע שהיא מאחסנת עליו. ובשפת התקן – DSAR (Data Subject Access Request) ועל חולשות שהתגלו בתהליך זה.

08/03/2021
HAFNIUM targeting Exchange servers with Zero-day exploits

מתקפה ושימוש בפרצות אלו מיוחסים על ידי מייקרוסופט ברמת ודאות גבוהה מאוד לקבוצת HAFNIUM (קבוצת ריגול סינית אשר נהגה לתקוף ארגונים בארצות הברית כגון מוסדות השכלה גבוהה, משרדי עורכי דין ועוד).

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram