کریپتوجکینگ چیست و چگونه با آن مقابله کنیم؟

استفاده از باج افزارها یکی از پردرآمدترین حملات سایبری برای هکرها محسوب می شود. در این نوع از حملات، اطلاعات و فایل های قربانی، رمزنگاری شده و در ازای دریافت باج، رمزگشایی می‌شوند. مجرمان همچنین توسط باج‌افزارها وب سایت‌ها را آلوده نموده و سپس از قدرت پردازشی رایانه‌های شخصی یا سازمانی برای استخراج رمز ارزها استفاده می‌‌کنند. در این مقاله از فراست با کریپتوجکینگ (Cryptojacking) یا رمزنگاری مخرب، نحوه شناسایی و روش‌های مقابله با آن آشنا می‌شویم.

 

کریپتوجکینگ (Cryptojacking) یا رمزنگاری مخرب

کریپتوجکینگ به معنای استفاده غیرمجاز از رایانه‌های افراد برای استخراج رمز ارز است. هکرها برای اجرای این حمله، یک لینک مخرب را از طریق ایمیل یا سایر روش‌های مشابه برای افراد ارسال می‌کنند تا با کلیک بر روی آن، کدهای استخراج رمز ارز بر روی رایانه قربانیان اجرا شوند. یک روش دیگر هم این است که مجرمان، وب سایت یا تبلیغ آنلاینی را آلوده به کدهای جاوا اسکریپت مخرب می کنند. این کدها به صورت خودکار در مرورگر کاربری که آن سایت یا تبلیغ را مشاهده کند، بارگذاری و اجرا خواهند شد.

کدهای کریپتوجکینگ پس از آلوده کردن سیستم قربانی، بدون اینکه کاربر از وجود آنها باخبر شود بر روی رایانه وی اجرا می‌شوند. تنها نشانه‌ای که ممکن است فرد متوجه آن شود، کاهش سرعت سیستم یا تأخیر در اجرای فعالیت ها است.

 

کریپتوجکینگ چگونه کار می‌کند؟

دو روش برای استخراج مخفیانه رمز ارز توسط هکرها وجود دارد. در روش اول، کدهای کریپتوماینینگ (Cryptomining) در رایانه‌های قربانیان بارگذاری و اجرا می‌شوند. این کار از طریق فنونی مشابه حملات فیشینگ انجام می شود. در این روش، قربانی یک ایمیل به ظاهر سالم دریافت می‌کند که در آن تشویق به کلیک بر روی لینک دیگری شده است. این لینک پس از اجرا، یک کد استخراج رمز ارز را در سیستم قربانی بارگذاری و اجرا می‌کند.

روش دیگر، تزریق کد مخرب در یک سایت یا آگهی تبلیغاتی است. معمولاً این کدها بر روی وب سایت‌های مختلف قرار دارند. وقتی قربانی از سایت آلوده بازدید کرده یا تبلیغ آلوده ای را در مرورگر خود مشاهده کند، این کد مخرب نیز به صورت خودکار اجرا خواهد شد. در این روش هیچ کدی بر روی رایانه قربانیان ذخیره نمی‌شود. این کدها فرایندهای محاسباتی پیچیده‌ای را بر روی رایانه قربانی اجرا نموده و نتیجه را به سرور تحت کنترل هکرها ارسال می‌کنند.

معمولاً هکرها برای رسیدن به بیشترین اثربخشی، از هر دو روش استفاده می‌کنند. بنا بر گفته Alex Vaystikh، مدیر ارشد فناوری و مؤسس شرکت SecBI: «مهاجمان از همان شگردهای بدافزاری قدیمی برای انتقال نرم‌افزارهای به ظاهر سالم و قابل اطمینان بر روی سیستم قربانیان استفاده می‌کنند». برای مثال از بین 100 دستگاهی که اقدام به استخراج رمز ارز برای هکرها می‌کنند، احتمال دارد 10 درصد آنها از طریق اجرای کد بر روی سیستم قربانی برای هکرها درآمدزایی نمایند. 90 درصد آنها این درآمدزایی را از طریق مرورگرهای وب انجام می‌دهند.

تعدادی از کدهای کریپتوماینینگ توانایی کرم‌های رایانه‌ای را هم داشته و با استفاده از این ویژگی می‌توانند سایر دستگاه‌ها و سرورهای شبکه را آلوده کنند. برخورداری از این قابلیت‌ها موجب شده پیدا کردن و حذف چنین بدافزارهایی کار چندان آسانی نبوده و آنها نیز بتوانند به صورت طولانی مدت بر روی سیستم‌های آلوده باقی بمانند.

به منظور افزایش قابلیت توزیع بدافزار در شبکه ممکن است کدهای استخراج رمز ارز، نسخه‌های مختلفی داشته باشند که هر کدام از آنها برای معماری‌های خاصی در شبکه طراحی شده اند. در یکی از نمونه‌های تشریح شده در یک پست وبلاگی AT&T Alien Labs آمده که برای معماری های مختلف، کدهای استخراج رمز ارز متفاوتی وجود دارد که مهاجم اقدام به دانلود و نصب آنها در سیستم قربانی می کند تا در نهایت یکی از آنها کارآمد واقع شود.

ممکن است این کد بررسی کند که آیا در گذشته سیستم مدنظر آلوده به بدافزارهای استخراج رمز ارز بوده است یا خیر؟ اگر چنین شواهدی به دست آید، این کد آن را غیرفعال خواهد کرد. در مطلب AT&T Alien Lab اشاره شده که بعضی ابزارهای استخراج رمز ارز، سازوکاری برای پیشگیری از غیرفعال کردن پردازش ها داشته که هر چند دقیقه یک بار اجرا می‌شود.

برخلاف بیشتر بدافزارها کدهای کریپتوجکینگ به داده‌های قربانی یا رایانه او آسیبی وارد نکرده و فقط اقدام به سرقت منابع پردازشی سیستم کاربر می کنند. برای بیشتر کاربران، افت سرعت و کارایی سیستم شاید کمی آزاردهنده باشد. سازمان‌هایی که چنین بدافزارهایی در سیستم‌های آنها نصب شده است، هزینه‌های زیادی را از نظر صرف منابع فناوری اطلاعات برای رفع مشکل کندی سیستم‌ها متحمل خواهند شد.

 

دلیل محبوبیت کریپتوجکینگ چیست؟

دقیقاً مشخص نیست که چه مقدار رمز ارز از طریق کریپتوجکینگ استخراج می‌شود. کریپتوجکینگ مبتنی بر مرورگر که از همان ابتدای فعالیت خود به سرعت رشد کرده بود به نظر می‌رسد به دلیل نوسانات موجود در بازار رمز ارزها و تعطیلی کوین‌هایو (محبوب‌ترین کد سرقتی رمز ارز نوشته شده به زبان جاوا اسکریپت که برای استخراج ارز دیجیتال به صورت مجاز از آن استفاده می‌شد)، حجم فعالیت‌هایش به شدت کمتر شده است. گزارش تهدیدات سایبری SonicWall در سال 2020 میلادی نشان داد که حجم حملات کریپتوجکینگ در نیمه دوم سال 2019 به دلیل تعطیلی کوین‌هایو، 78 درصد کاهش یافته است.

البته این روند نزولی، مدتی پیش از این هم شروع شده بود. بر اساس گزارش چشم‌انداز تهدیدات سایبری شرکت Positive Technology، در سه ماه نخست سال 2019 میلادی استخراج رمز ارزها فقط شامل 7 درصد از کل حملات سایبری بوده که در مقایسه با سال 2018 کاهش بسیار زیادی را نشان می دهد. این گزارش بیانگر آن است که مجرمان سایبری به استفاده از باج‌افزارها که سودآوری بیشتری دارند، روی آورده‌اند.

Marc Laliberte تحلیلگر هوش تهدید در شرکت WatchGuard Technologies (که ارایه‌دهنده راهکارهای امنیت شبکه است) می‌گوید: «بدافزارهای استخراج رمز ارز هنوز نابالغ هستند و همچنان باید به رشد و تکامل خود ادامه دهند».

محققان در ژانویه 2018 میلادی بات‌نت استخراج رمز ارز Smominru را شناسایی کردند که بیش از نیم میلیون سیستم را عمدتاً در کشورهای روسیه، هندوستان و تایوان آلوده کرده بود. این بات‌نت از سرورهای آلوده ویندوز برای استخراج رمز ارز مونرو استفاده می کرد. شرکت امنیت سایبری Proofpoint تخمین زده که این بات نت تا پایان ژانویه 2018، 3.6 میلیون دلار برای هکرها درآمد داشته است.

پیاده‌سازی کریپتوجکینگ به مهارت‌های فنی قابل توجهی نیاز ندارد. طبق گزارش «تب طلای جدید، رمز ارزها جدیدترین ابزار برای کلاهبرداری» که توسط شرکت Digital Shadows منتشر شده است، امروزه پکیج های آماده کریپتوجکینگ به قیمت 30 دلار در وب تاریک به فروش می‌رسند.

مهمترین دلیل محبوبیت بسیار زیاد کریپتوجکینگ در بین هکرها درآمد بسیار بالا و مخاطرات نسبتاً پایین آن است. Vaystikh در این خصوص می‌گوید: «از نظر هکرها کریپتوجکینگ ابزاری سودآورتر و ارزان‌تری نسبت به باج‌افزارها است». با نصب باج‌افزار ممکن است هکرها به ازای هر 100 سیستمی که آلوده می‌کنند تنها بتوانند از 3 نفر باج بگیرند اما با کریپتوجکینگ دیگر تمام سیستم‌های آلوده برای هکرها سود خواهند داشت. او همچنین گفته: «ممکن است هکر در این روش به اندازه همان حملات باج‌افزاری درآمد داشته باشد ولی درآمد حاصل از استخراج رمز ارز، پیوسته و مداوم است».

در این روش، خطر شناسایی مجرمان سایبری و گیر افتادن آنها هم در مقایسه با باج‌افزارها کمتر است. کدهای کریپتوماینینگ به صورت مخفیانه در سیستم های قربانیان اجرا شده و ممکن است تا مدت‌های طولانی نیز شناسایی نشوند. البته پس از شناسایی، تشخیص منشأ حمله کار بسیار سختی است و معمولاً قربانیان انگیزه بسیار کمی برای انجام این کار دارند چون هیچ سرقت یا رمزنگاری اطلاعاتی انجام نشده است. هکرها استخراج رمز ارزهایی مثل مونرو و زی‌کش را به بیت‌کوین ترجیح می‌دهند چون پیدا کردن ردپای چنین رمز ارزهایی بسیار دشوار است.

 

مثال‌های واقعی از کریپتوجکینگ

مهاجمانی که حملات کریپتوجکینگ را اجرا می‌کنند افراد باهوشی هستند. آنها روش‌های مختلفی را برای پیاده‌سازی بدافزارهای استخراج رمز ارزها ابداع کرده‌اند. معمولاً روش‌های انتقال این بدافزارها بر روی سیستم قربانی همان روش های مورد استفاده در سایر فعالیت های بدافزاری مثل باج‌افزارها و آگهی‌افزارها است.

Travis Farral مدیر راهکارهای امنیتی شرکت Anomali می‌گوید: «در این بدافزارها شاهد استفاده از روش‌های سنتی مختلفی هستیم که در گذشته طراحان بدافزار از آنها استفاده می‌کردند. این افراد به جای تحویل باج‌افزار یا تروجان، ابزارهای خودشان را به نحوی پیکربندی می کنند که بتوانند اجزا یا ماژول‌های استخراج رمز ارز را منتقل نمایند».

در ادامه، چند نمونه واقعی از بدافزارهای کریپتوجکینگ را بررسی می‌کنیم.

بات‌نت Prometei که از آسیب‌پذیری اکسچنج مایکروسافت سوءاستفاده می‌کرد.

بدافزار Prometei یک بات‌نت چند مرحله‌ای است که در اوایل سال 2016 میلادی برای استخراج رمز ارز مونرو طراحی شد. این بدافزار از روش‌های مختلف برای آلوده کردن دستگاه‌ها و انتشار در شبکه‌های رایانه ای استفاده می‌کند. در اوایل سال 2021 شرکت Cybereason متوجه شد که این بدافزار از آسیب‌پذیری‌های اکسچنج مایکروسافت[1] (که در حملات Hafnium هم از آن برای نصب بدافزار و استخراج اطلاعات ورود به حساب‌های کاربری استفاده شده بود) سوءاستفاده می‌نماید.

فیشینگ هدفمند PowerGhost که اعتبارنامه‌های ویندوز را سرقت می‌کند.

گزارش استخراج غیرقانونی رمز ارزها که توسط انجمن تهدیدات سایبری (CTA[2]) منتشر شده به تشریح بدافزار PowerGhost می‌پردازد. این بدافزار نخستین بار به عنوان بدافزاری که می‌تواند به روش‌های مختلف از امکان شناسایی شدن خود جلوگیری کند توسط شرکت فورتی نت مورد بررسی و تحلیل قرار گرفت.

PowerGhost در ابتدای شروع فعالیت خود از فیشینگ هدفمند برای ورود به سیستم های کاربران استفاده کرده و سپس اقدام به سرقت اعتبارنامه‌های ویندوز (نام کاربری و کلمه عبور) می کرد. این بدافزار از ابزار مدیریت ویندوز و اکسپلویت EternalBlue برای توزیع خود بر روی سایر سیستم ها استفاده می‌کند. لازم به ذکر است PowerGhost برای جلوگیری از امکان شناسایی خود و فعالیت طولانی مدت در سیستم آلوده سعی می کند نرم‌افزارهای ضدویروس نصب شده بر روی آن را غیرفعال کند. این بدافزار همچنین قابلیت غیرفعال کردن سایر ابزارهای استخراج رمز ارز نصب شده بر روی سیستم قربانی را دارد.

Graboid یک کرم استخراج رمز ارز که با استفاده از مخازن داکر منتشر می‌شود.

شرکت Palo Alto Networks گزارشی منتشر کرده که در آن درباره یک بات‌نت استخراج رمز ارز با قابلیت‌های انتشار خودکار صحبت شده بود. این بات‌نت که با نام “Graboid” شناخته می‌شود، اولین کرم شناسایی شده در زمینه استخراج رمز ارز است که از طریق پیدا کردن نسخه‌های نصب شده موتور داکر[3] (Docker Engine) که امکان دسترسی به آنها از طریق اینترنت و بدون انجام احراز هویت وجود دارد، در سیستم های قربانی نصب می‌شود. شرکت Palo Alto Networks چنین برآورد کرده که Graboid توانسته بیش از 2 هزار نسخه نصب شده داکر را آلوده نماید.

حساب‌های مخرب Docker Hub که رمز ارز مونرو استخراج می‌کنند.

در سال 2020 میلادی شرکت Palo Alto Networks یک کمپین استخراج رمز ارز را شناسایی کرد که در آن از تصاویر داکر شبکه داکر‌هاب برای انتشار بدافزاری جهت استخراج ارز دیجیتال استفاده شده بود. قرار دادن کد استخراج رمز ارز در تصویر داکر، به جلوگیری از امکان شناسایی آن کمک می‌کرد. این تصاویر آلوده، بیش از 2 میلیون بار مورد استفاده قرار گرفته بودند. شرکت Palo Alto تخمین زده که این بدافزار 36 هزار دلار برای مجرمان سایبری درآمد داشته است.

بدافزار MinerGate که فعالیت آن در زمان‌هایی که کاربر در حال استفاده از رایانه آلوده به این بدافزار باشد، متوقف می‌شود.

شرکت Palo Alto Networks یک نسخه از خانواده بدافزارهای MinerGate را شناسایی کرده که ویژگی جالب توجهی دارند. این بدافزار، حرکت‌های موس را شناسایی کرده و در صورت حرکت آن اقدام به متوقف کردن فرایند استخراج رمز ارز در سیستم قربانی می‌کند. به این ترتیب احتمال اینکه کاربر متوجه افت سرعت سیستم خود شود، کاهش می‌یابد.

BadShell از پردازش‌های ویندوز سوءاستفاده می‌کند.

چند ماه پیش شرکت امنیت سایبری Comodo بدافزاری را در سیستم کاربران خود شناسایی نمود که از پردازش‌های سیستم عامل ویندوز برای استخراج رمز ارز استفاده می‌کرد. این بدافزار که BadShell نام دارد از پردازش‌های زیر سوءاستفاده می‌کند:

• پاورشل برای اجرای فرمان‌ها (یک اسکریپت پاورشل، کد بدافزار را در یکی از پردازش‌های در حال اجرا تزریق می‌نماید).
• زمان بند کارها (Task Scheduler)، برای حضور مستمر در سیستم آلوده
• رجیستری ویندوز، برای حفظ کد باینری بدافزار.

کارمندی که از سیستم‌های بانک سوءاستفاده می‌کرد.

شرکت Darktrace در یکی از کنفرانس‌های امنیتی، حادثه‌ای که برای یکی از مشتریانش (که یک بانک اروپایی بود) رخ داده را بیان کرده است. این شرکت متوجه ایجاد الگوهای ترافیکی غیرطبیعی در سرورهای بانک مذکور شده بود. پردازش‌های شب هنگام به کندی اجرا می‌شدند و ابزارهای عیب‌یابی این بانک نیز هیچ مشکل خاصی را نشان نمی دادند.

Darktrace متوجه شد که در زمان کندی سرورها پردازش های جدیدی ایجاد می‌شدند که بنا بر گفته بانک لزومی بر اجرای آنها نبود. نهایتاً بررسی فیزیکی مرکز داده این بانک اروپایی نشان داد که یکی از کارمندان آن، یک سیستم استخراج رمز ارز را در زیر کفپوش بانک نصب کرده است!

انتشار ابزارهای استخراج رمز ارز از طریق گیت‌هاب

شرکت نرم‌افزاری Avast گزارش داده که مجرمان سایبری از گیت‌هاب برای میزبانی بدافزارهای استخراج رمز ارز سوءاستفاده می‌کنند. بر اساس یافته‌های این شرکت، هکرها از پروژه‌های اصلی یک نسخه کپی تهیه نموده و با استفاده از روش‌های فیشینگ، کاربران را تشویق به دانلود بدافزار می‌کردند. یکی از این روش‌ها نمایش یک پیام هشدار برای به روزرسانی فلش پلیر بوده است.

سوءاستفاده از آسیب‌پذیری rTorrent

مجرمان سایبری متوجه وجود یک نقص در پیکربندی rTorrent شدند که به آنها امکان می داد بدون گذراندن فرایند احراز هویت و تنها از طریق ارتباطات [4]XML-RPC امکان ورود به سیستم های کاربران را داشته باشند. آنها با جستجو در اینترنت، سیستم‌های آسیب‌پذیر را شناسایی نموده و سپس یک بدافزار استخراج رمز ارز مونرو را بر روی آنها نصب می کردند. شرکت F5 Networks که این آسیب‌پذیری را شناسایی کرده است به کاربران rTorrent توصیه نموده تنظیمات آن را به نحوی تغییر دهند که درخواست برقراری ارتباطات بیرونی را قبول نکند.

Facexworm: یک افزونه مخرب کروم

این بدافزار که برای اولین بار در سال 2017 میلادی توسط شرکت Kaspersky شناسایی شد، در واقع یکی از افزونه های طراحی شده برای مرورگر گوگل کروم است که از شبکه اجتماعی فیسبوک برای آلوده کردن سیستم‌ها استفاده می‌کند. Facexworm در هنگام شروع فعالیت خود یک آگهی‌افزار را بر روی سیستم قربانی نصب می‌کند.

در اوایل سال 2021 میلادی شرکت ترند میکرو نسخه خاصی از Facexworm را شناسایی کرد که صرافی‌های ارز دیجیتال را هدف حملات خود گرفته و می‌توانست کدهای استخراج رمز ارز را بر روی سیستم های رایانه ای آنها نصب کند. این بدافزار از حساب‌های کاربری فیسبوک برای انتقال لینک‌های مخرب استفاده می‌کند. شایان ذکر است Facexworm قادر به سرقت شناسه های کاربری افراد نیز بوده و می‌تواند کدهای کریپتوجکینگ را در صفحات وب سایت ها تزریق نماید.

WinstarNssmMiner

شرکت 360 Total Security بدافزاری را شناسایی کرده که علاوه بر قابلیت انتشار سریع، کارایی زیادی هم برای استخراج رمز ارزها دارد. در صورت تلاش برای حذف این بدافزار که “WinstarNssmMiner” نام داشت، سیستم آلوده دچار نقص در اجرای فرایندهای عملکردی خود می‌شد. WinstarNssmMiner برای انجام این کار ابتدا پردازش svchost.exe سیستم را اجرا نموده و کدهایی در آن تزریق می‌کند تا بتواند نوع پردازش تولید شده را به CriticalProcess تغییر دهد. از آنجا که سیستم، چنین پردازشی را یک پردازش مهم و حیاتی در نظر می‌گیرد بنابراین در صورت حذف آن، سیستم کاربر دچار نقص عملکرد خواهد شد.

CoinMiner رقبا را پیدا نموده و نابود می‌کرد.

کریپتوجکینگ به قدری رایج شده که مهاجمان سایبری بدافزارهای خودشان را به‌ گونه‌ای طراحی می‌کنند که ابزارهای مشابه را شناسایی کرده و از روی سیستم های قربانی پاک سازی کنند. CoinMiner یک نمونه از چنین بدافزارهایی است که برای انجام این کار، وجود پردازش AMDDriver64 در سیستم عامل ویندوز را بررسی می‌کند. در این بدافزار دو فهرست $malwares و $malwares2 وجود دارد که حاوی نام پردازش‌های شناخته شده در زمینه استخراج رمز ارزها است. CoinMiner در صورت یافتن چنین پردازش‌هایی آنها را متوقف می‌کند.

مودم‌های آلوده میکروتیک، بدافزارهای کریپتوجکینگ را توزیع می‌کردند.

در سال 2020 میلادی شرکت Bad Packets گزارش داد که بیش از 80 حمله کریپتوجکینگ را شناسایی کرده که مودم‌های میکروتیک را مورد هدف قرار داده بودند. این شرکت، شواهدی از آلودگی صدها هزار دستگاه را منتشر کرده است. این حمله از یک آسیب‌پذیری شناخته شده (CVE-2018-14847) استفاده می‌کرد.

البته شرکت میکروتیک برای رفع این آسیب پذیری یک وصله امنیتی منتشر کرده بود اما متأسفانه بعضی از کاربران اقدام به نصب آن نکرده بودند. از آنجا که این شرکت مودم‌هایی را برای کاربران اینترنتی تولید می‌کند به همین خاطر مهاجمان سایبری از این طریق توانسته بودند به سیستم‌های بسیار زیادی دسترسی یافته و آنها را آلوده نمایند.

چگونه با کریپتوجکینگ مقابله کنیم؟

برای به حداقل رسیدن خطر قربانی شدن در برابر حملات کریپتوجکینگ (Cryptojacking) می بایست به توصیه‌های زیر عمل کنید:

• در دوره های آموزشی و آگاهی بخشی امنیت سایبری به موضوع کریپتوجکینگ هم توجه کرده و درباره حملات فیشینگی که سعی در بارگذاری کدهای مخرب در رایانه‌های کاربران دارند، صحبت کنید. Laliberte می‌گوید: «در مواقعی که احتمال دارد راهکارهای فنی شکست بخورند، آموزش به کمک شما خواهد آمد». او معتقد است که همچنان حمله فیشینگ، اصلی‌ترین روش انتشار انواع بدافزارها می باشد.
• بر روی مرورگرهای وب، افزونه مسدودکننده تبلیغ افزار یا ضدکریپتوماینینگ نصب کنید. به دلیل آنکه معمولاً کدهای مخرب کریپتوجکینگ از طریق آگهی‌های موجود در وب منتشر می‌شوند بنابراین نصب یک ابزار مسدودکننده تبلیغات می‌تواند به مقابله با آنها کمک به سزایی کند. بعضی از این ابزارها مثل “Ad Blocker Plus” قابلیت تشخیص کدهای مخرب استخراج رمز ارز را دارند. Laliberte افزونه‌هایی مثل No Coin و MinerBlock را توصیه می‌کند که برای شناسایی و مسدود کردن کدهای مخرب استخراج کننده رمز ارز طراحی شده‌اند.
• از راهکارهای محافظت از نقاط انتهایی شبکه استفاده کنید که قادر به تشخیص ماینرهای شناخته شده هستند. عموماً نرم‌افزارهای ضدویروس، قابلیت تشخیص ابزارهای استخراج رمز ارز را دارند. بنا بر گفته Farral: «ضدویروس یکی از ابزارهایی است که باید برای حفاظت در برابر کریپتوماینینگ بر روی نقاط انتهایی نصب شود. اگر این کدهای مخرب قبلاً شناخته شده باشند احتمال کشف و شناسایی آنها بسیار زیاد است. فقط دقت داشته باشید که تولیدکنندگان این بدافزارها همواره برای پیشگیری از احتمال شناسایی شدن شان در حال تغییر روش‌های خود هستند».
• ابزارهای فیلترکننده صفحات وب را همواره به روز نگهدارید. اگر صفحه‌ای را شناسایی کردید که اقدام به نصب اسکریپت کریپتوجکینگ می‌کند حتماً دسترسی کاربران به آن صفحه را مسدود نمایید.
• حواستان به افزونه های نصب شده بر روی مرورگرها باشد. بعضی از مهاجمان از افزونه‌های مخرب یا مسموم‌سازی افزونه‌های معتبر برای اجرای کدهای کریپتوماینینگ استفاده می‌کنند.
• به منظور کنترل بهتر دستگاه‌های کاربران، از راهکارهای مدیریت دستگاه‌های تلفن همراه (MDM[5]) استفاده نمایید. خط مشی «دستگاه خودتان را سر کار بیاورید» امکان مقابله با حملات کریپتوماینینگ را سخت‌تر می‌کند. بنا بر گفته :Laliberte «ابزارهای MDM می‌توانند کمک زیادی به امن‌تر شدن این خط مشی کنند». ابزار MDM می‌تواند به مدیریت افزونه‌ها و برنامه‌های کاربردی بر روی دستگاه‌های کاربران کمک زیادی کند. چنین راهکارهایی بیشتر برای سازمان‌های بزرگ طراحی شده‌اند و معمولاً شرکت‌های کوچک قادر به تهیه آنها نیستند. Laliberte معتقد است دستگاه‌های تلفن همراه به اندازه رایانه‌ها و سرورها در معرض خطر قرار ندارند چون قدرت پردازشی کمتری داشته و استفاده از آنها برای هکرها سود چندانی ندارد.

 

نحوه شناسایی حملات کریپتوجکینگ

کریپتوجکینگ Cryptojacking هم مثل باج‌افزارها می‌تواند پیامدهای مخربی برای سازمان‌ها در پی داشته باشد. پاک سازی این بدافزار نسبت به سایر حملات بدافزاری کار نسبتاً سختی است. برای مقابله با کریپتوجکینگ نمی‌توان متکی بر راهکارهای حفاظتی فعلی بود. بنا بر گفته Laliberte: «کدهای کریپتوماینینگ قابلیت مخفی شدن از دید ابزارهای تشخیص مبتنی بر امضا را دارند. ابزارهای ضدویروس رایانه‌ای هم قادر به تشخیص آنها نیستند».

به منظور شناسایی حملات کریپتوجکینگ می‌توان از روش‌های زیر استفاده کرد:

به تیم امداد فناوری اطلاعات درباره نشانه‌های آلودگی به کریپتوماینینگ آموزش دهید.

گاهی وقت ها شکایت کارمندان از افت سرعت سیستم‌ها اولین نشانه از آلودگی به بدافزارهای کریپتوماینینگ است که باید آن را جدی گرفته و بررسی‌های بیشتری در این خصوص انجام داد. طبق گفته Laliberte: «داغ شدن بیش از حد سیستم‌ها که باعث ایجاد فشار بر روی پردازنده یا فن خنک کننده سیستم می‌شود از جمله نشانه‌های این آلودگی است. این گرم شدن بیش از حد می‌تواند به دستگاه کاربر آسیب رسانده و طول عمر آن را کاهش دهد؛ به خصوص برای دستگاه‌های ضعیف‌تری مثل تبلت و گوشی‌های تلفن همراه هوشمند».

استفاده از راهکارهای نظارت بر شبکه

Vaystikh معتقد است تشخیص کریپتوجکینگ در شبکه سازمانی نسبت به رایانه های خانگی راحت‌تر است چون بیشتر راهکارهای طراحی شده برای رایانه‌های شخصی قادر به تشخیص آن نیستند. راهکارهای نظارت بر شبکه به راحتی می‌توانند حملات کریپتوجکینگ را شناسایی کنند. بیشتر سازمان‌های بزرگ نیز ابزارهای لازم برای شناسایی چنین حملاتی را در اختیار دارند.

با این وجود تعداد کمی از سازمان‌های مجهز به داده‌ها و ابزارهای نظارت بر شبکه، از توانمندی های تحلیلی لازم برای تشخیص دقیق بدافزارهای کریپتوماینینگ برخوردار هستند. برای مثال شرکت SecBI یک راهکار مبتنی بر هوش مصنوعی طراحی کرده که ترافیک شبکه را تحلیل نموده و ابزارهای کریپتوجکینگ و سایر تهدیدات سایبری خاص را شناسایی می‌کند.

Laliberte می گوید بهترین راه برای تشخیص فعالیت های کریپتوماینینگ، نظارت بر شبکه است. او همچنین گفته: «ابزارهای نظارت بر شبکه که ترافیک وب را زیر نظر دارند، شانس بیشتری برای تشخیص بدافزارهای استخراج رمز ارز خواهند داشت». بسیاری از این راهکارها قابلیت تفکیک فعالیت‌های کاربران را داشته تا بتوانند تشخیص دهند کدام دستگاه‌ها به بدافزار آلوده شده‌اند.

Farral می‌گوید: «اگر فیلترینگ کارآمدی بر روی ترافیک ورودی سرور داشته و ارتباطات خروجی را هم زیر نظر بگیرید، احتمال شناسایی بدافزارهای استخراج رمز ارز افزایش می‌یابد». او هشدار می‌دهد طراحان این بدافزارها می‌توانند آنها را به‌ گونه‌ای طراحی کنند که امکان تشخیص شان وجود نداشته باشد.

بر وب سایت‌های خودتان هم نظارت داشته باشید.

Farral معتقد است طراحان بدافزارهای کریپتوماینینگ روش‌هایی را برای تزریق کدهای جاوا اسکریپت در وب سایت‌ها پیدا کرده‌اند. او می‌گوید: «خود سرور، مورد هدف نیست بلکه هر شخصی که از وب سایت استقرار یافته بر روی آن بازدید می‌کند در معرض خطر قرار دارد». وی توصیه می کند که بر تغییرات فایل‌های سرورها و همچنین صفحات وب سایت‌ها نظارت کنید.

آگاهی از تازه‌ترین اخبار و تحولات کریپتوجکینگ

کدهای استخراج رمز ارزها و روش‌های انتشار آنها همواره در حال تغییر هستند. آشنایی با نرم‌افزارها و الگوهای رفتاری، کمک زیادی به تشخیص حملات کریپتوجکینگ می‌کند. بنا بر گفته Farral: «یک سازمان آگاه همیشه از آنچه که در حال وقوع است خبر دارد. اگر با سازوکارهای عملکردی این بدافزارها آشنا باشید خواهید دانست که مثلاً یک اکسپلویت کیت خاص چه بدافزاری را نصب می‌کند. حفاظت در برابر این اکسپلویت کیت ها به پیشگیری از آلودگی به بدافزارهای کریپتوماینینگ کمک می‌کند».

برای مثال در سال 2020 میلادی شرکت Akamai گزارش داد که یک بات‌نت کریپتوماینینگ شناخته شده، فنون خود را تغییر داده تا امکان مقابله با آن وجود نداشته باشد. طراحان بات‌نت‌ها آدرس یک کیف پول بیت کوین را به همراه نشانی یک API بررسی کیف پول به بدافزار اضافه کرده بودند تا با کمک این API بتوانند آدرس آی‌پی‌ را که از آن برای حضور پایدار در سیستم قربانی و آلوده کردن سایر سیستم‌ها استفاده می‌شد، محاسبه کنند. محققان می‌گویند: «این یک روش بسیار هوشمندانه و راهبردی است و به مهاجمان امکان می‌دهد داده‌ها را به صورت مبهم بر روی بلاک‌چین ذخیره کنند».

 

چگونه با حملات کریپتوجکینگ مقابله کنیم؟

 

کدهای مخرب ارایه شده توسط وب سایت ها را متوقف و مسدود نمایید.

برای مقابله با حملات کریپتوجکینگ از طریق مرورگر باید نسبت به امن سازی مروگر خود اقدام نمایید. معمولاً کارشناسان فناوری اطلاعات قادر به شناسایی منابع اجرایی این کدها و به روزرسانی فیلترهای وب سازمان برای مسدودسازی آنها هستند. جهت پیشگیری و مقابله با حملات آتی نیز از ابزارهای ضدکریپتوماینینگ استفاده نمایید.

افزونه‌های نصب شده در مرورگر را بررسی و به روزرسانی کنید.

بنا بر گفته Laliberte: «اگر افزونه‌ای باعث آلودگی مرورگرتان شده، غیرفعال سازی آن کافی نیست. تمامی افزونه‌ها را به روزرسانی نموده و افزونه‌هایی که دیگر مورد نیاز نبوده یا آلوده هستند را پاک کنید».

آموزش و یادگیری را سرلوحه فعالیت هایتان قرار دهید.

برای درک هر چه بهتر روش های آلودگی سیستم‌ها مطالب منتشر شده در این خصوص را مطالعه کنید. به کاربران، آموزش‌های لازم را داده و دانش آنها را به روز نمایید تا توانایی‌هایشان برای شناسایی و مقابله با حملات کریپتوجکینگ افزایش یابد.

 

[1] مهاجمان با سوءاستفاده از این آسیب‌پذیری، کنترل بعضی از سرورها را به دست گرفته، اقدام به سرقت ایمیل‌ها کرده و دامنه نفوذ خود را در سطح شبکه افزایش داده‌اند.

[2] Cyber Threat Alliance

[3] ابزاری رایانه‌ای که ایجاد، توسعه و اجرای برنامه‌های کاربردی را با استفاده از کانتینر آسان می‌سازد. موتور داکر، یک فناوری برای ایجاد و اجرای کانتینر برنامه‌های کاربردی است.

[4] یک ویژگی وردپرس است که امکان انتقال داده‌ها را فراهم می‌کند.

[5] Mobile Device Management