Cybercriminelen richten zich op organisaties om in het geheim cryptovaluta’s te delven, waarbij op Linux gebaseerde multi-cloudomgevingen de belangrijkste doelwitten worden, volgens Exposing Malware in Linux-Based Multi-Cloud Environments, een rapport van de VMware Threat Analysis Unit.
In deze post vindt u enkele belangrijke analyses van de cryptomining-componenten die zijn gebruikt bij recente cryptojacking-aanvallen, de gebruikte technieken en hoe de dreiging kan worden gedetecteerd en beperkt.
Mining van Monero (XMR)
Er zijn doorgaans twee benaderingen voor cryptojacking-aanvallen: malware die wallets steelt of inkomsten genereert met gestolen CPU-cycli om de digitale valuta te minen.
Uit het rapport bleek dat de meeste cryptojacking-aanvallen zich richten op het delven van de Monero-cryptovaluta (of XMR) in op Linux gebaseerde multi-cloudomgevingen, waarbij de meerderheid XMRig-gerelateerde bibliotheken gebruikt.
Waarom Monero?
Deze digitale valuta is aantrekkelijk omdat Monero bekendstaat als een privacymunt (waarbij de identiteit van gebruikers, het bedrag van elke transactie enzovoort wordt verborgen). Bovendien kan voor het minen van Monero, in tegenstelling tot Bitcoin, de CPU- of GPU-cycli van gewone computers worden gebruikt.
“Het is heel eenvoudig om een variatie van de open-source XMRig-miner te plaatsen en het proces voor het genereren van inkomsten te starten, met name tijdens de exploitatie van verkeerd geconfigureerde containerbeheer-software, zoals Docker of Kubernetes”, zegt Giovanni Vigna, senior director Threat Intelligence bij VMware.
XMRig en mining pools
De algemene toepassing die wordt gebruikt om Monero te minen, is de open-source XMRig-miner. Hoewel XMRig ook andere cryptovaluta’s kan minen, wordt het voornamelijk gebruikt om Monero te minen.
“We hebben FLIRT-handtekeningen ontwikkeld voor de bibliotheken die door XMRig worden gebruikt bij het compileren op verschillende Linux-distributies. We hebben ook Go-moduledetectoren ontwikkeld om relevante cryptogerelateerde modules te identificeren”, legt Vigna uit. “Toen we controleerden op de aanwezigheid van deze
componenten (geschreven in zowel C/C++ als Go), ontdekten we dat 89 procent van de cryptominers XMRig-gerelateerde bibliotheken gebruikte.”
Het rapport identificeerde ook enkele van de meestgebruikte mining pools die door cryptojackers worden gebruikt. Door zich aan te sluiten bij een mining pool kan de malware bijdragen aan het algehele miningproces en profiteren van de voordelen delen van collectieve mining: de rekenkracht van één host zou waarschijnlijk onvoldoende zijn om zinvolle resultaten te behalen.
In het rapport werden ook de cryptominer-families Omelette, WatchDog en Kinsing onderzocht.
Doelen en tactieken
Uit het rapport bleek dat het ontduiken van de verdediging de meestge-bruikte techniek van cryptominers is. Wat betreft de gebruikte methoden en tactieken, zijn de technieken die cryptominers gebruiken om gegevens te verdoezelen diverser in vergelijking met ransomware-samples die in het rapport worden geanalyseerd. Deze samples maakten ook meer gebruik van verpakking en dynamisch gegenereerde code vergeleken met bijvoorbeeld ransomware, aangezien het doel van de cryptominer is om zo lang mogelijk onopgemerkt te blijven en kostbare CPU-cycli te stelen.
De dreiging van cryptomining beperken
Cryptojacking-aanvallen kunnen leiden tot hogere energierekeningen, vastgelopen bewerkingen of hogere rekeningen voor cloud computing. Deze aanvallen zijn echter vaak moeilijk te detecteren omdat ze de werking van cloudomgevingen niet volledig verstoren, zoals ransomware doet, of alarmen veroorzaken, zoals een gegevenslek zou kunnen doen wanneer ongeautoriseerde of afwijkende toegang tot gevoelige gegevens wordt gedetecteerd.
De beste manier om cryptojacking-aanvallen te detecteren, is volgens het rapport het gebruik van netwerkverkeersanalyse (NTA) om interne hosts te identificeren die de resultaten van miningprocessen naar buiten communiceren, aangezien deze communicatie nodig is om geld te verdienen met de aanval. De communicatie waarnaar moet worden gezocht, zijn verbindingen met mining pools. Veel malware-samples voor cryptomining maken echter verbinding met een command-and-control-host die fungeert als een netwerkproxy om detectie te voorkomen. In deze gevallen zijn geavanceerdere anomaliedetectietechnieken nodig om de dreiging te identificeren. Er kan bijvoorbeeld worden gezocht naar verbindingen met de buitenwereld vanaf hosts die in het verleden nooit verbonden waren met de buitenwereld.
Volgens het rapport moeten EDR-oplossingen zo worden aangepast dat ook abnormale CPU-gebruikspatronen worden geïdentificeerd die direct kunnen worden geassocieerd met de berekeningen met betrekking tot blockchain-mining. De gecoördineerde bewaking van
cloudomgevingen, met behulp van zowel hostgebaseerde als netwerkgebaseerde detectietechnieken, kan helpen deze aanvallen tegen te houden.
Gedetailleerdere analyses en inzichten
Dit zijn slechts enkele punten van de analyse van cryptominers die wordt besproken in Exposing Malware in Linux-Based Multi-Cloud Environments. Het rapport bevat ook een uitgebreid overzicht van ransomware en tools voor externe toegang.
Download het volledige rapport - Exposing Malware in Linux-Based Multi-Cloud Environments
