چگونه میتوان با استخراج غیرقانونی رمزارز مقابله کرد؟
توکنهای مجازیای که ارزهای دیجیتال از آنها بهعنوان سکه استفاده میکنند، زمانی ضرب میشوند که تعداد زیادی از مسائل ریاضی پیچیده، حل شده باشند. تلاش محاسباتی مورد نیاز برای حل این مشکلات، بسیار زیاد است.
به گزارش وبسایت cloudsavvyit، این یک تلاش مشترک بزرگ است که در آن بسیاری از رایانهها به یکدیگر متصل شدهاند تا پلتفرمی به نام استخر (Pool) برای پردازش توزیعشده تشکیل دهند. حل مسائل ریاضی یا کمک به حل آنها با عنوان استخراج شناخته میشود. ثبت تراکنشهای انجامشده با ارز دیجیتال مثل خرید و پرداخت نیز نیازمند استخراج است. پاداش استخراج مقدار کمی از ارز دیجیتال خواهد بود.
ضرب سکههای جدید با گذشت زمان سختتر خواهد شد. هر ارز دیجیتال، تعداد از پیش تعیینشدهای سکه را در طور عمرش ضرب خواهد کرد. همانطور که با گذشت زمان سکههای بیشتری ایجاد میشود، سکههای کمتری برای ایجاد شدن باقی خواهد ماند و تلاش لازم برای استخراج و ضرب سکههای جدید افزایش خواهد یافت. روزهایی که امکان کسب درآمد از طریق رمزنگاری در مقیاس کوچک وجود داشت، گذشته است و امروزه مقدار برقی که برای استخراج استفاده میکنید سود اندک ارز دیجیتال شما را از بین خواهد برد.
رمزنگاری سودآور به دکلهای تخصصی و حتی کل مزارع ماشینآلات مرتبط با این کار نیاز دارد. هزینههای سختافزاری و هزینههای جاری نیز همیشه باید جبران شوند. بنابراین حتی در این شرایط نیز همهی پول بهدستآمده رایگان نخواهد بود؛ البته مگر اینکه از منابع محاسباتی شخص دیگری برای انجام عملیات استخراج استفاده کنید. استفاده از منابع IT شخص دیگری بدون اجازه، جرم محسوب میشود اما این مورد برای مجرمان سایبری بازدارنده نیست.
هکرها میتوانند با استفاده از حملات فیشینگ یا وبسایتهای آلوده، بهراحتی بدافزار رمزنگاری را بدون اطلاع شما نصب کرده و چرخههای برق و پردازندهی شما را کنترل کنند. یکی دیگر از روشهای استخراج ارز دیجیتال این است که وبسایتها را آلوده میکنند تا مرورگرهای بازدیدکنندگان به یک استخر رمزنگاری بپیوندد و سپس اسکریپهای رمزنگاری جاوا اسکریپ اجرا خواهد شد. عاملان تهدید از هر روشی که استفاده کنند، به آن کریپتوجکینگ (Cryptojacking) میگویند؛ عملیاتی که به هکرها اجازه میدهد تا زمانی که هنوز قربانیان این عملیات با قبضهای آب و برق بالاتر و کاهش عملکرد مواجه نشدهاند، به سود دست یابند.
از آنجا که هکرها سعی دارند تا آنجا که ممکن است رایانههای زیادی را در سازمانهای مختلف به خطر بیندازند، مجموعهی رایانههای آنها بزرگتر و قدرتمندتر خواهد شد. این قدرت به این معنی است که آنها میتوانند بهطور مادی به فرایندهای استخراج کمک کرده و پاداش دریافت کنند.
استخراج در مقیاس بزرگ
کریپتوماینینگ حتی توسط برخی از گروههایی که تحت حمایت دولتها فعالیت میکنند نیز انجام میشود. مایکروسافت در وبلاگ امنیتی خود توضیح داده یک گروه جاسوسی تحت حمایت دولت، چگونه سرقت رمزنگاریشده را به روشهای معمولی فعالیتهای مجرمانهی سایبری خود اضافه کرده است.
این گروهها حملات گستردهای را در فرانسه و ویتنام انجام دادهاند و از این روش برای استخراج ارز دیجیتال محبوب مونرو (Monero) بهره گرفتهاند. استخراج ارز دیجیتال در مقیاس بزرگ مثل این حملات، مسلماً باعث سودآوری برای گروههای مذکور خواهد شد.
چگونه میتوان کریپتوجکینگ را تشخیص داد؟
اگر شما یا کاربرانتان متوجه کاهش عملکرد رایانهها یا سرورها شدهاید و بار پردازندهی مرکزی و فعالیت فن بالا است، شاید این موارد نشانههایی از این باشد که کریپتوجکینگ در حال انجام است.
گاهی اوقات وصلههای سیستمعامل یا برنامهای که امنیت بالایی ندارد نیز میتواند اثرات نامطلوبی در عملکرد سیستمها ایجاد کند که علائم آن شبیه نشانههای کریپتوجکینگ است؛ اما در صورتیکه آسیب به سیستم بهطور گسترده و ناگهانی صورت گیرد و و علاوهبر این هیچ وصلهی برنامهریزی شدهای روی آن سیستم اجرا نشده باشد، ممکن است با یک حملهی رمزنگاری مواجه باشید.
برخی از نرمافزارهای رمزنگاری هوشمندتر، هنگامی که متوجه آستانهی مشخصی از فعالیت قانونی کاربر شوند، بار وارد شده روی پردازندهی مرکزی را محدود میکنند. این امر تشخیص سرقت رمزنگاری را سختتر خواهد کرد، اما نشانگر جدیدی را هم معرفی میکند. اگر پردازندهی مرکزی و فنها در زمانی که هیچ عملیات خاصی روی رایانه رخ نمیدهد بالاتر رود، در این وضعیت احتمالاً سیستم شما با سرقت رمزنگاریشده روبهرو است.
نرمافزار کریپتوجکینگ همچنین میتواند با تظاهر به اینکه فرایندی متعلق به یک برنامهی قانونی است، ترکیب شود. این نرمافزارها میتوانند از تکنیکهایی مثل بارگذاری جانبی فایل های DLL بهره ببرند؛ روشی که در آن یک DLL مخرب جایگزین یک DLL قانونی خواهد شد. DLL هنگام راهاندازی توسط یک برنامهی Bone Fide یا یک برنامهی Doppelganger که در پشتصحنه دانلود شده، فراخوانی خواهد شد.
DLL تقلبی پس از فراخوانی، یک فرایند کریپتوماینینگ را راهاندازی خواهد کرد. اگر بار بالای پردازندهی مرکزی بررسی شود، بهنظر خواهد رسید که یک برنامهی کاربری قانونی، عملکردی نامطلوب دارد.
اکنون با انجام چنین اقداماتی توسط نویسندگان بدافزار، چگونه میتوان کریپتوجکینگ را بهعنوان یک فرایند مخرب تشخیص داد و آن را با یک برنامهی عادی، اشتباه نگرفت؟
یکی از روشها، بررسی فایلهای گزارش دستگاههای شبکه مثل دیوارههای آتشین (فایروال)، سرورهای DNS و سرورهای پراکسی و جستوجوی اتصالات به استخرهای رمزنگاری شناختهشده است. فهرستی از ارتباطاتی که کریپتوماینرها استفاده میکنند را تهیه کرده و آنها را مسدود سازید. بهعنوان مثال، این الگوها اکثر استخرهای رمزنگاری مونرو را مسدود خواهند کرد.
- *xmr.*
- *pool.com
- *pool.org
- pool.*
نقطهی مقابل این تاکتیک این است که اتصالات خارجی خود را به نقاط پایانی شناختهشده و معتبر محدود کنید، اما این کار با زیرساخت مبتنی بر فناوری ابری، بهطور قابلتوجهی سختتر است. این امر برای اطمینان از مسدود نشدن داراییهای قانونی، مستلزم بررسی و نگهداری مداوم است.
ارائهدهندگان خدمات ابری میتوانند تغییراتی ایجاد کنند که بر نحوهی دیده شدن آنها از دنیای خارج تأثیر بگذارد. مایکروسافت این کار را به کمک فهرستی از همهی محدودههای آدرس IP سرویس آژور که هر هفته بهروزرسانی میشود، انجام میدهد. البته همهی ارائهدهندگان خدمات ابری مثل مایکروسافت نیستند و بعضاً از سازماندهی مناسبی بهره نمیبرند.
مسدود کردن کریپتوماینینگ
بیشتر مرورگرهای وب محبوب از افزونههای مسدود کنندهی کریپتوماینینگ، پشتیبانی میکنند. برخی از مسدودکنندههای تبلیغاتی، توانایی شناسایی و توقف اجرای فرایندهای رمزنگاری جاوا اسکریپت را دارند.
مایکروسافت در حال آزمایش ویژگی جدیدی در مرورگر اج (Edge) است. اسم رمز این قابلیت جدید Super Duper Secure Mode است. این ویژگی با خاموش کردن کامل کامپایل Just in Time در موتور جاوا اسکریپت V8، سطح حملهی مرورگر را به شدت کوچک میکند.
این کار، امکان اجرا شدن فرایندهای استخراج رمزارز را کاهش خواهد داد، اما لایهی قابلتوجهی از پیچیدگی را از مرورگر حذف میکند. پیچیدگی جایی است که باگها وارد میشود. باگها منجر به آسیبپذیریهایی خواهد شد که وقتی مورد سوءاستفاده قرار گیرند، سیستم در معرض خطر قرار خواهد گرفت. بسیاری از آزمایشکنندگان هیچ کاهش عملکرد متفاوتی را در استفاده از نسخههای آزمایشی اج گزارش نمیدهند.
دربارهی این موضوعات، مثل همیشه پیشگری بهتر از درمان است. بهداشت سایبری خوب با آموزش شروع میشود. اطمینان حاصل کنید که کارکنان شما میتوانند تکنیکهای معمول حملهی فیشینگ و علائم نشاندهندهی آن را تشخیص دهند. اطمینان حاصل کنید که آنها احساس راحتی کرده و نگرانیهای خود را مطرح میکنند. باید کارمندان را بهنحوی توجیه کرد که بتوانند بهراحتی نگرانیهای خود را گزارش داده و ارتباطات مشکوک، پیوستها یا رفتارهای سیستم را اطلاع دهند.
بهتر است همیشه در صورت دسترسی به روش احراز هویت دو مرحلهای، از این قابلیت استفاده کنید.
امتیازها را بهگونهای اختصاص دهید که افراد فقط برای انجام نقش خود دسترسی و آزادی مورد نیاز را داشته باشند و نه بیشتر.
برای مسدود کردن ایمیلهای فیشینگ و ایمیلهای دارای ویژگیهای مشکوک، از فیلتر ایمیل استفاده کنید. البته سیستمهای مختلف، قابلیتهای متفاوتی ارائه میدهند. اگر پلتفرم ایمیل شما بتواند لینکهای موجود در متن ایمیل را پیش از اینکه کاربر روی آن کلیک کند مورد بررسی قرار دهد؛ موفق خواهید بود.
فایلهای گزارش تولیدشده توسط فایروال، پراکسی و DNS خود را بررسی کرده و بهدنبال ارتباطات غیرقابل توضیح باشید. ابزارهای خودکار میتوانند در این راه به شما کمک کنند. سپس میتوانید در صورت نیاز دسترسی به استخرهای رمزنگاری شناختهشده را مسدود سازید.
در نهایت میتوانید از اجرای خودکار ماکروها و فرایندهای نصب جلوگیری کنید.
نظرات