Cryptojacking: Görülmeyen Tehdit
Cryptojacking kötü amaçlı yazılımların etkisi kripto para birimlerinin fiyatı ve finansal ivmesini etkileyebilmesi ve tespit edilmesi oldukça zor olan bir tehdit türüdür.
Cryptojacking çok yeni bir tehdit türü değil, ancak saldırganlar arasında oldukça popüler bir yöntem. Pandemi etkisi ile 2020’de yeniden bir ivme kazanarak tehdit aktörlerinin önemli araçlarından biri haline geldi ve genellikle bitcoin düşüş zamanlarında yoğunlaşan atak kampanyaları ile kendisini göstermektedir.
Cryptojacking ataklarının diğer bir etkisi diğer tehdit türlerinden farklılığı nedeni ile güvenlik endüstrisi tarafından en fazla eksik raporlanan tehdit türüdür olmasından kaynaklanmaktadır, ek olarak zararlı kodların teknik açıdan çok sofistike olması ve diğer tehdit türlerinin geleneksel etkilerini göstermemesi nedeniyle büyük ölçüde göz ardı edilmiştir. Cryptojacking kötü amaçlı yazılımı incelendiğinde, inanılmaz derecede hafif ve polimorfik yapıda olduğu ilk göze çarpan özellikler arasında, tek amacı CPU kullanarak crypto hash hesaplamaları daha hızlı yapmak olması ve standart komut satırı ile cryptojacking zararlısı komutları arasındaki farkların zor anlaşılabilir olması ilgili tehditin tespiti ve önlenmesini büyük ölçüde zorlaştırmaktadır. İlgili zararlı kodları genellikle o kadar çok iyi özelleştirilmiş ve standart yasal komut satırları gibi gözüktüğünden birçok güvenlik katmanından kolayca kaçabilmektedir. Geleneksel siber zararlı etkileri de göstermediğinden etkilere dayalı bir güvelik modeli geliştirmek oldukça güç olmaktadır.
Kripto para birimlerinin özellikle 2017’den bu yana artışı ve özellikle cep telefonlarından kullanılan web tarayıcılarındaki zafiyetlerin üç katına çıktığı göz önüne alındığında, tehdit aktörleri için çok iyi bir fırsat olarak kullanılmaktadır. Özellikle android ve çeşitli mobil cihazlarındaki güvenlik teknolojilerin siber güvenlik alanında yeterince olgunlaşmaması ve eksik yapılandırmalar bu ataklara davetiye çıkarmaktadır.
Cryptojacking ataklarında mobil cihazlarla birlikte IoT cihazları da potansiyel bir hedeftir. Basit hesapla normal tekil bir cep telefonu CPU’su kullanılarak yapılan mining işleminde saniyede üretilecek 500 hash ile ‘Monero’ kripto para biriminde haftalık 0.21$’lik kazancı kolaylıkla elde edebilir. Bu basit gözüksede örnek olarak MIRAI saldırısı benzeri bir botnet atağında kullanılacak olaran milyonlarca cihazdan elde edilecek CPU kapasitesi ile elde edilecek gelir inanilmaz olabilir. (Mirai saldırısında ortalama 20 Milyar cihaz infekte olmuştu), 30K-200K aralığında kullanılacak bir botnet yapısı oldukça verimli olarak çalışaibilir.
Cryptojacking ataklarında yoğun olarak (XSS)-Cross Site Scrpiting atakları en yoğun olarak kullanılan yöntemlerin başında gelmektedir. Cryptojacking bu denli başarılı olmasının bazı nedenlerini şu şekilde sıralıyabiliriz;
- Çok fazla özel izin gerektirmemesi(elevated permissions)
- Genellikle platform bağımsız olması
- Diğer zararlı teknikler gibi çalışmadıklarından özellikle AV/EDR tarafından tespit edilmeleri güç olması.
- Zararlı kodları genellikle açık kaynak kodlu yazılım kütüphanelerine kolayca eklenecek yasal komut gibi görünebilir ve şifrelenmiş DNS kullanarak kendilerini yapılandırabilirler. Bu nedenle çok net bir zayıflık analizi yapılmadığı sürece ortaya çıkmaları zor olmaktadır.
Cryptojacking hemen her platformda çalışan JavaScript, Go, Ruby, Shell, Python, PowerShell, vb. çeşitli dillerde kodlaması yapılabilir. Zararlı yazılım lokal komutları çalıştırabildiği sürece(genellikle özel bir yetki gerektirmeden) CPU işlem gücünü kullanabilir ve kripto para birimi madenciliği başlatabilir, bunlara ek olarak özellikle cloud altyapılarında kullanılan docker, kubernetes kümeleri gibi çeşitli mikroservisleri istismar ederek kendisini kolayca gizleyebilir. Cryptojacking saldırıları hedef sistemlerden data-exfil veya destructive yapıda değildir, bu nedenle özellikle tehdit avcılığı yapan kişilerin sıklıkla gözünden kacan bir tehdit türü olarak karşımıza çıkmaktadır.
Tespit Yöntemleri
- Ağa bağlı cihazlar üzerinden Full DNS denetimi gerçekleştirmek salt querying değil.
- SOAR/SIEM sistemleri üzerinde bilinen mining pool yapıları için etkili tespit ve alarm kuralları oluşturmak.
- Yüksek CPU/GPU kullanımlarını analiz etmek.
- Fiziksel cihazlar için sıcaklık tespiti için denetim ve alarm politikaları oluşturmak.
- Potansiyel olarak boot ya da startup olarak çalışabilecek komut satırlarını detaylı şekilde analiz etmek.
- VM(Vulnerability Management) araçları üzerinden bu tipdeki saldırılar için zayıflık bilgileri ve istirmar araçları konusunda kapsamlı araştırma yapmak.
Tüm bunlara ek olarak ek olarak, IT/IoT cihazlarınıza daha fazla görünürlük katmak ve ağ ve istemci sistemler üzerindeki konfigürasyon ve değişiklikleri sürekli izleyebilmek farklılık yaratabilir.
Detaylar ve daha fazla görünürlük çözümleri için sales@inforte.com.tr üzerinden temasa geçebilirsiniz.