Варонис криптомингийн вирус илрүүлсэн: бидний судалгаа

Манай кибер аюулгүй байдлын судалгааны баг саяхан дунд оврын компаний бараг бүхэлдээ криптомингийн вирусээр халдварласан сүлжээг судалжээ. Шинжилгээ
Цуглуулсан хортой програм хангамжийн дээжээс харахад шинэ өөрчлөлт олдсон байна
ийм вирус гэж нэрлэдэг Норман, түүний оршихуйг нуух янз бүрийн аргыг ашиглан. Үүнээс гадна үүнийг илрүүлсэн интерактив вэб бүрхүүл, энэ нь уул уурхайн операторуудад хамааралтай байж болох юм.

Судалгааны тойм

• Варонис компани криптоминеруудын томоохон халдварыг илрүүлсэн: компанийн бараг бүх сервер, ажлын станцууд ийм програм хангамжаар халдварласан байна.
• Жил гаруйн өмнө анх халдвар авснаас хойш өөрчлөлт, халдвар авсан төхөөрөмжүүдийн тоо тогтмол нэмэгдсээр байна
• Бид илрүүлэхээс зайлсхийхийн тулд хамгаалалтын программ ашиглан дүн шинжилгээ хийхээс нуух янз бүрийн аргыг ашигладаг шинэ төрлийн Monero криптомер (Норман)-ыг нээсэн.
• Ихэнх хортой програмын хувилбарууд нь DuckDNS (үнэгүй Динамик DNS үйлчилгээ)-ийг удирдлагын төвтэй (C&C серверүүд) холбож, тохиргооны параметрүүдийг олж авах эсвэл шинэ өгөгдөл илгээхэд ашигладаг байсан.
• Норман бол нээлттэй эхийн олборлогч - XMRig дээр суурилсан өндөр гүйцэтгэлтэй Monero криптовалют олборлогч юм
• Бидэнд криптоминеруудыг интерактив PHP бүрхүүлтэй холбосон няцаашгүй нотолгоо хараахан байхгүй байна. Гэсэн хэдий ч тэднийг ижил халдагчаас ирсэн гэж үзэх хангалттай үндэслэл бий. Судлаачид ийм холболт байгаа эсэх талаар нэмэлт нотлох баримт цуглуулж байна.
• Энэ нийтлэлд та алсын вэб бүрхүүлүүд болон криптоминеруудаас хамгаалах талаар Варонисын зөвлөмжүүдтэй танилцах боломжтой.

Мөрдөн байцаалт

Дараагийн туршилтын төслийн үеэр мөрдөн байцаалт эхэлсэн Платформууд
кибер аюулгүй байдал Варонис (Varonis Data Security Platform) нь файлын систем дэх хэвийн бус үйлдлүүдтэй холбоотой интернетийн хүсэлтийн үед (вэб прокси-ээр дамжуулан) сүлжээний түвшинд хэд хэдэн сэжигтэй хэвийн бус үйл явдлыг хурдан илрүүлэх боломжийг олгосон.
Үйлчлүүлэгч тэр даруй манай платформоор тодорхойлсон төхөөрөмжүүдийг онцлон тэмдэглэв
нь саяхан аппликешн гацсан болон сүлжээ удаашруулсан тухай мэдээлсэн ижил хэрэглэгчдэд хамаарах байсан.

Манай баг Варонис платформоос үүсгэсэн сэрэмжлүүлгийн дагуу халдвар авсан нэг станцаас нөгөө рүү шилжиж, үйлчлүүлэгчийн орчныг гараар шалгаж үзсэн. Ослын хариу арга хэмжээ авах баг нь тусгай дүрэм боловсруулсан DataAlert модуль идэвхтэй олборлолт явуулж байсан компьютеруудыг илрүүлэх, энэ нь аюулыг хурдан арилгахад тусалсан. Цуглуулсан хортой програмын дээжийг шүүх эмнэлэг, хөгжлийн баг руу илгээсэн бөгөөд тэд дээжийг цаашид судлах шаардлагатай гэж зөвлөв.
Тэдний хийсэн дуудлагын улмаас халдвар авсан зангилаанууд илэрсэн DuckDNS, Динамик DNS үйлчилгээ нь хэрэглэгчдэд өөрсдийн домэйн нэрийг үүсгэж, тэдгээрийг IP хаягийг өөрчлөхөд хурдан тохируулах боломжийг олгодог. Дээр дурдсанчлан, ослын ихэнх хортой програмууд нь хяналтын төвтэй (C&C) холбогдохын тулд DuckDNS-д хандсан бол бусад нь тохиргооны параметрүүдэд хандах эсвэл шинэ өгөгдөл илгээсэн.

Бараг бүх сервер, компьютерууд хортой програмаар халдварласан байна. Голчлон ашигладаг
криптоминеруудын нийтлэг хувилбарууд. Бусад хортой програмууд нь нууц үг задлах хэрэгсэл, PHP бүрхүүлүүд байсан бол хэд хэдэн хэрэгслүүд хэдэн жилийн турш ажиллаж байсан.

Бид үр дүнг хэрэглэгчдэд өгч, тэдний орчноос хортой програмыг устгаж, цаашдын халдварыг зогсоосон.

Олдсон бүх криптоминеруудын дээжүүдийн дунд нэг нь онцолсон юм. Бид түүнийг нэрлэсэн Норман.

Уулз! Норман. Криптоминер

Норман бол XMRig код дээр суурилсан өндөр гүйцэтгэлтэй Monero криптовалют олборлогч юм. Олдсон бусад уурхайчдын дээжээс ялгаатай нь Норман илрүүлэхээс зайлсхийж, цаашид тархахаас урьдчилан сэргийлэхийн тулд хамгаалалтын программ ашиглан шинжилгээнээс нуух арга техникийг ашигладаг.

Өнгөц харахад энэ хортой програм нь svchost.exe нэрээр нуугдаж байгаа энгийн уурхайчин юм. Гэсэн хэдий ч энэ нь илрүүлэхээс нуугдаж, аливаа зүйлийг хэвийн байлгахын тулд илүү сонирхолтой аргуудыг ашигладаг болохыг судалгаагаар тогтоожээ.

Энэхүү хортой програмыг байршуулах үйл явцыг гурван үе шатанд хувааж болно.

• гүйцэтгэл;
• хэрэгжилт;
• уул уурхай.

Алхам алхмаар дүн шинжилгээ хийх

Үе шат 1. Гүйцэтгэл

Эхний шат нь svchost.exe гүйцэтгэгдэх файлаас эхэлнэ.

Хортой програмыг NSIS (Nullsoft Scriptable Install System) ашиглан эмхэтгэсэн бөгөөд энэ нь ер бусын юм. NSIS нь Windows суулгагч үүсгэхэд ашигладаг нээлттэй эхийн систем юм. SFX-ийн нэгэн адил энэ систем нь суулгагч ажиллаж байх үед хийгдэх файлуудын архив болон скрипт файлыг үүсгэдэг. Скрипт файл нь програмд ​​ямар файлуудыг ажиллуулахыг зааж өгдөг бөгөөд архивт байгаа бусад файлуудтай харилцах боломжтой.

Тайлбар: Гүйцэтгэх боломжтой файлаас NSIS скрипт файлыг авахын тулд та 7zip 9.38 хувилбарыг ашиглах ёстой, учир нь дараагийн хувилбарууд нь энэ функцийг хэрэгжүүлдэггүй.

NSIS архивлагдсан хортой программ нь дараах файлуудыг агуулна.

• CallAnsiPlugin.dll, CLR.dll - .NET DLL функцуудыг дуудах NSIS модулиуд;
• 5zmjbxUIOVQ58qPR.dll - үндсэн ачаалал DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - ачааллын файлууд;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png нь зөвхөн цаашдын хортой үйлдэлтэй ямар ч холбоогүй файлууд юм.

Ачааллыг ажиллуулдаг NSIS скрипт файлын тушаалыг доор өгөв.

Хортой програм нь бусад файлуудыг параметр болгон авдаг 5zmjbxUIOVQ58qPR.dll функцийг дуудаж гүйцэтгэнэ.

Үе шат 2. Хэрэгжилт

5zmjbxUIOVQ58qPR.dll файл нь үндсэн ачаалал бөгөөд үүнийг дээрх NSIS скриптээс харж болно. Мета өгөгдөлд хурдан дүн шинжилгээ хийснээр DLL нь анх Norman.dll нэртэй байсан тул бид үүнийг ингэж нэрлэсэн.

DLL файл нь .NET-д боловсруулагдсан бөгөөд урвуу инженерчлэлээс гурав дахин будлианаас хамгаалагдсан
алдартай арилжааны бүтээгдэхүүн Agile .NET Obfuscator ашиглан.

Гүйцэтгэлийн явцад өөрөө шахах олон үйлдлүүд нь өөрийн үйл явц, түүнчлэн бусад процессуудад оролцдог. Үйлдлийн системийн битийн гүнээс хамаарч хорлонтой програм нь болно
системийн хавтас руу өөр өөр замыг сонгож, өөр процессуудыг ажиллуул.

Системийн хавтасны зам дээр үндэслэн хортой програм нь ажиллуулах өөр өөр процессуудыг сонгоно.

Тарьсан ачаалал нь криптомерыг ажиллуулах, илрүүлэхээс урьдчилан сэргийлэх гэсэн хоёр үндсэн үүрэгтэй.

Хэрэв үйлдлийн систем нь 64 бит бол

Анхны svchosts.exe файлыг (NSIS файл) ажиллуулах үед энэ нь өөрөө шинэ процесс үүсгэж, түүнд ачааллыг (1) оруулна. Удалгүй notepad.exe эсвэл explorer.exe-г ажиллуулж, түүнд криптоминер тарина (2).

Үүний дараа анхны svchost.exe файл гарч, шинэ svchost.exe файлыг олборлогчийн үйл явцыг хянадаг програм болгон ашигладаг.

Хэрэв үйлдлийн систем нь 32 бит бол

Анхны svchosts.exe файл (NSIS файл) ажиллах үед энэ нь 64 битийн хувилбартай адил өөрийн процессыг хуулбарлаж, түүнд ачааллыг оруулдаг.

Энэ тохиолдолд хортой програм нь хэрэглэгчийн explorer.exe процесст ачааллыг оруулдаг. Тэндээс хортой код нь шинэ процессыг (wuapp.exe эсвэл vchost.exe) эхлүүлж, түүнд уурхайчин тарина.

Хортой програм нь wuapp.exe руу орох зам болон хоосон утгуудын хамт өмнө нь оруулсан кодыг дарж бичих замаар explorer.exe-д тарьсан гэдгээ нуудаг.

64 битийн орчинд ажиллаж байгаа тохиолдолд анхны svchost.exe процесс гарах бөгөөд хоёр дахь нь хэрэглэгч процессыг зогсоосон тохиолдолд explorer.exe руу хортой кодыг дахин оруулахад ашигладаг.

Гүйцэтгэлийн алгоритмын төгсгөлд хортой програм нь эхлүүлсэн хууль ёсны процесст үргэлж криптоминер оруулдаг.

Энэ нь хэрэглэгч Task Manager-ийг эхлүүлэх үед олборлогчийг зогсоох замаар илрүүлэхээс урьдчилан сэргийлэх зорилготой юм.

Task Manager-ийг ажиллуулсны дараа wuapp.exe процесс дуусна гэдгийг анхаарна уу.

Даалгаврын менежерийг хаасны дараа хортой програм нь wuapp.exe процессыг дахин дахин эхлүүлдэг
уурхайчин түүнд шахдаг.

3-р шат. Уурхайчин

Дээр дурдсан XMRig олборлогчийг авч үзье.

Хортой програм нь олборлогчийн далдлагдсан UPX хувилбарыг notepad, exe, explorer.exe,
svchost.exe эсвэл wuapp.exe нь үйлдлийн системийн битийн гүн болон гүйцэтгэх алгоритмын үе шатаас хамаарна.

Уурхайчин дахь PE толгойг устгасан бөгөөд доорх дэлгэцийн зургаас бид үүнийг UPX-ээр далдалсан болохыг харж болно.

Хогийн цэг үүсгэж, гүйцэтгэх файлыг сэргээсний дараа бид үүнийг ажиллуулж чадсан:

Зорилтот XMR сайт руу нэвтрэхийг хориглодог бөгөөд энэ нь олборлогчийг үр дүнтэй саармагжуулдаг гэдгийг тэмдэглэх нь зүйтэй.

Олборлогчийн тохиргоо:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

C&C руу өгөгдөл дамжуулах нууцлаг PHP бүрхүүл

Энэ мөрдөн байцаалтын явцад манай шүүх эмнэлгийн баг тэдний анхаарлыг татсан XSL файлыг илрүүлсэн. Дээжийг гүнзгийрүүлэн шинжилсний дараа хяналтын төвтэй (C&C сервер) байнга холбогддог шинэ PHP бүрхүүл олдсон.

sysWOW64 лавлах хавтсаас мэдэгдэж байгаа Windows-ийн гүйцэтгэх программ (mscorsv.exe)-ээр эхлүүлсэн XSL файл нь хэрэглэгчийн орчинд хэд хэдэн сервер дээр олдсон.

Хортой програмын хавтсыг AutoRecover гэж нэрлэсэн бөгөөд агуулагдсан хэд хэдэн файл:

• XSL файл: xml.XSL
• есөн DLL файл

Гүйцэтгэх боломжтой файлууд:

• Mscorsv.exe
• Wmiprvse.exe

XSL файл

XSL файлууд нь XML баримтыг хэрхэн харуулахыг тайлбарладаг CSS-д ашигладагтай төстэй загварын хуудас юм.

Notepad-г ашиглан бид энэ нь XSL файл биш, харин Zend Guard-ийн нууцалсан PHP код болохыг тогтоосон. Энэ сониуч баримт нь тийм байсан гэдгийг харуулж байна
түүний гүйцэтгэх алгоритм дээр суурилсан хортой програмын ачаалал.

Есөн DLL

XSL файлын анхны шинжилгээ нь ийм тоо байгаа гэсэн дүгнэлтэд хүргэсэн
DLL нь тодорхой утгатай байдаг. Үндсэн хавтас нь php.dll нэртэй DLL болон SSL болон MySQL-тэй холбоотой өөр гурван номын санг агуулдаг. Дэд хавтаснуудаас мэргэжилтнүүд дөрвөн PHP номын сан, нэг Zend Guard номын санг олсон. Эдгээр нь бүгд хууль ёсны бөгөөд PHP суулгацын багц эсвэл гадаад dll-ээс авсан болно.

Энэ үе шатанд энэ хортой программыг PHP дээр үндэслэн бүтээж, Zend Guard нь бүдгэрүүлсэн гэж таамаглаж байсан.

Гүйцэтгэх боломжтой файлууд

Мөн энэ хавтсанд Mscorsv.exe болон Wmiprvse.exe гэсэн хоёр гүйцэтгэгдэх файл байсан.

Mscorsv.exe файлд дүн шинжилгээ хийсний дараа бид түүний Бүтээгдэхүүний нэр параметрийг "Microsoft. Net Framework".
Эхэндээ энэ нь хачирхалтай санагдаж байсан ч Wmiprvse.exe-д дүн шинжилгээ хийх нь нөхцөл байдлыг илүү сайн ойлгох боломжийг бидэнд олгосон.

Wmiprvse.exe файл нь мөн гарын үсэг зураагүй боловч PHP бүлгийн зохиогчийн эрхийн тэмдэг болон PHP дүрсийг агуулсан байв. Түүний мөрүүдийг хурдан харахад PHP тусламжийн командуудыг олж харав. -version шилжүүлэгчтэй ажиллахад энэ нь Zend Guard-г ажиллуулахад зориулагдсан гүйцэтгэгдэх файл болох нь тогтоогдсон.

Mscorsv.exe-г ижил төстэй байдлаар эхлүүлэх үед дэлгэцэн дээр ижил өгөгдөл гарч ирэв. Бид эдгээр хоёр файлын хоёртын өгөгдлийг харьцуулж үзээд мета өгөгдлөөс бусад нь адилхан болохыг олж харлаа
Зохиогчийн эрх ба Компанийн нэр/Бүтээгдэхүүний нэр.

Үүний үндсэн дээр XSL файл нь mscorsv.exe нэрийн дор нуугдсан Zend Guard гүйцэтгэх файлыг ашиглан ажилладаг PHP кодыг агуулж байна гэж дүгнэсэн.

XSL файлыг задлан шинжилж байна

Интернэт хайлтыг ашиглан мэргэжилтнүүд Zend Guard deobfuscation хэрэгслийг хурдан олж авч, xml.XSL файлын анхны төрхийг сэргээв.

Хортой програм нь өөрөө хяналтын төвтэй (C&C сервер) байнга холбогддог PHP бүрхүүл болох нь тогтоогдсон.

Түүний илгээж, хүлээн авч буй тушаалууд болон гаралтууд нь шифрлэгдсэн байдаг. Бидэнд эх код байгаа тул шифрлэлтийн түлхүүр болон командууд хоёулаа байсан.

Энэхүү хортой программ нь дараах суулгасан функцуудыг агуулна:

• Eval - Ихэвчлэн кодын одоо байгаа хувьсагчдыг өөрчлөхөд ашигладаг
• Орон нутгийн файлын бичлэг
• Өгөгдлийн сантай ажиллах боломжууд
• PSEXEC-тэй ажиллах боломжууд
• Нуугдсан гүйцэтгэл
• Зураглалын үйл явц ба үйлчилгээ

Дараах хувьсагч нь хортой програм нь олон хувилбартай болохыг харуулж байна.

Дээж цуглуулахдаа дараахь хувилбаруудыг олж мэдсэн.

• 0.5f
• 0.4p
• 0.4o

Системд хортой програм байнга байх боломжийг хангах цорын ганц үүрэг бол түүнийг ажиллуулах үед өөрөө ажилладаг үйлчилгээг бий болгодог бөгөөд түүний нэр.
хувилбараас хувилбар руу өөрчлөгддөг.

Мэргэжилтнүүд интернетээс ижил төстэй дээжийг хайж олохыг оролдсон бөгөөд хортой програм илрүүлсэн
Энэ нь тэдний бодлоор одоо байгаа дээжийн өмнөх хувилбар байсан юм. Фолдерын агуулга ижил төстэй байсан ч XSL файл нь өөр бөгөөд өөр хувилбарын дугаартай байсан.

Parle-Vu хортой програм уу?

Хортой програм нь Франц эсвэл өөр франц хэлээр ярьдаг улсаас гаралтай байж магадгүй: SFX файлд франц хэл дээрх тайлбарууд байсан нь зохиогч үүнийг бүтээхдээ WinRAR-ын франц хувилбарыг ашигласан болохыг харуулж байна.

Түүгээр ч зогсохгүй кодын зарим хувьсагч, функцийг франц хэлээр нэрлэсэн.

Гүйцэтгэлийг хянаж, шинэ тушаалуудыг хүлээж байна

Мэргэжилтнүүд хортой програмын кодыг өөрчилж, аль хэдийн өөрчилсөн програмыг аюулгүй ажиллуулав
хүлээн авсан командын талаарх мэдээллийг цуглуулах хувилбар.

Эхний харилцааны сессийн төгсгөлд шинжээчид хортой програм нь EVAL64 эхлүүлэх түлхүүрийн аргумент болгон Base64 ашиглан кодлогдсон тушаалыг хүлээн авсан болохыг олж мэдэв.
Энэ тушаалыг тайлж, гүйцэтгэдэг. Энэ нь хэд хэдэн дотоод хувьсагчдыг өөрчилдөг (унших, бичих буферийн хэмжээ), үүний дараа хортой програм тушаал хүлээж ажиллах циклд ордог.

Одоогоор шинэ тушаал ирээгүй байна.

Интерактив PHP бүрхүүл ба криптоминер: тэдгээр нь хоорондоо холбоотой юу?

Варонисын мэргэжилтнүүд Норман нь PHP бүрхүүлтэй холбоотой эсэхийг сайн мэдэхгүй байна, учир нь энэ таамаглалыг дэмжсэн болон эсрэг хүчтэй аргументууд байдаг:

Тэд яагаад холбоотой байж болох вэ?

• Сүлжээний янз бүрийн сегмент дэх янз бүрийн төхөөрөмж дээр олдсон ч хортой криптомингийн програм хангамжийн дээжийн аль нь ч бусад системд бие даан тархах чадваргүй байв. Халдагчид зангилаа бүрийг тус тусад нь халдварласан байж магадгүй (Магадгүй Paient Zero-г халдварлахтай ижил халдлагын векторыг ашигласан байж магадгүй), гэхдээ халдлагын бай болсон сүлжээнд тархахын тулд PHP бүрхүүлийг ашиглах нь илүү үр дүнтэй байх болно.
• Тодорхой байгууллагын эсрэг чиглэсэн том хэмжээний, зорилтот автомат кампанит ажил нь ихэвчлэн техникийн олдворууд эсвэл кибер аюулгүй байдлын аюул заналхийллийн ул мөрийг үлдээдэг. Энэ тохиолдолд ийм төрлийн зүйл олдсонгүй.
• Норман болон PHP бүрхүүл хоёулаа DuckDNS үйлчилгээг ашигласан.

Яагаад тэд ямар ч холбоогүй байж болох вэ?

• Cryptoning хортой програмын хувилбарууд болон PHP бүрхүүлийн хооронд техникийн ижил төстэй зүйл байхгүй. Хортой криптоминер нь C++ хэл дээр бүтээгдсэн бөгөөд бүрхүүл нь PHP дээр байдаг. Мөн кодын бүтцэд ижил төстэй зүйл байхгүй, сүлжээний функцууд нь өөр өөрөөр хэрэгждэг.
• Хортой програмын хувилбарууд болон PHP бүрхүүлийн хооронд өгөгдөл солилцох шууд холбоо байхгүй.
• Тэд хөгжүүлэгчийн сэтгэгдэл, файл, мета өгөгдөл эсвэл дижитал хурууны хээг хуваалцдаггүй.

Алсын бүрхүүлээс хамгаалах гурван зөвлөмж

Хяналтын төвөөс (C&C серверүүд) команд шаарддаг хортой програм нь ердийн вирус шиг биш юм. Түүний үйлдлийг урьдчилан таамаглах аргагүй бөгөөд автомат хэрэгсэл, скриптгүйгээр гүйцэтгэсэн хакер эсвэл пентестерийн үйлдэлтэй илүү төстэй байх болно. Тиймээс эдгээр халдлагыг хортой програмын гарын үсэггүйгээр илрүүлэх нь ердийн вирусны эсрэг сканнер хийхээс илүү хэцүү байдаг.

Компаниудыг алслагдсан бүрхүүлээс хамгаалах гурван зөвлөмжийг доор харуулав.

1. Бүх программ хангамжийг шинэчлээрэй
   Халдагчид ихэвчлэн программ хангамж болон үйлдлийн систем дэх эмзэг байдлыг ашиглан байгууллагын сүлжээгээр тархаж, сонирхсон мэдээллийг хайх зорилгоор ашигладаг.
   хулгай. Цаг тухайд нь нөхөх нь ийм аюулын эрсдлийг эрс бууруулдаг.
2. Өгөгдөл хандалтын хэвийн бус үйл явдлыг хянах
   Халдагчид байгууллагын нууц мэдээллийг периметрээс гадуур авахыг оролдох магадлалтай. Энэ өгөгдөлд хэвийн бус хандалтын үйл явдлыг хянах нь боломжийг олгоно
   аюулд өртсөн хэрэглэгчид болон халдагчдын гарт орж болзошгүй бүх хавтас, файлуудыг илрүүлж, зөвхөн эдгээр хэрэглэгчдэд байгаа бүх өгөгдлийг авч үзэхгүй.
3. Сүлжээний урсгалыг хянах
   Галт хана ба/эсвэл прокси сервер ашиглах нь хортой программ хангамжийн хяналтын төвүүдтэй (C&C серверүүд) хортой холболтыг илрүүлж, блоклож, халдагчид тушаалуудыг гүйцэтгэхээс сэргийлж, ажиллахад хэцүү болгодог.
   периметрийн өгөгдөл.

Саарал уул уурхайн асуудалд санаа зовж байна уу? Хамгаалах зургаан зөвлөмж:

1. Бүх үйлдлийн системийг шинэчилж байгаарай
   Нөхөөсний менежмент нь нөөцийг буруугаар ашиглах, хортой програмын халдвараас урьдчилан сэргийлэхэд маш чухал юм.
2. Сүлжээний урсгал болон вэб проксиг хянах
   Зарим халдлагыг илрүүлэхийн тулд үүнийг хий, зарим халдлагаас урьдчилан сэргийлэхийн тулд та хортой домайнуудын талаарх мэдээлэлд үндэслэн траффикийг хаах эсвэл шаардлагагүй өгөгдөл дамжуулах сувгийг хязгаарлаж болно.
3. Вирусны эсрэг шийдэл болон төгсгөлийн аюулгүй байдлын системийг ашиглах, засварлах (Гэхдээ зөвхөн энэ хамгаалалтын давхаргыг ашиглахаар өөрийгөө хязгаарлаж болохгүй).
   Төгсгөлийн бүтээгдэхүүнүүд нь сайн мэддэг криптоминеруудыг илрүүлж, системийн гүйцэтгэл болон эрчим хүчний хэрэглээнд хохирол учруулахаас өмнө халдвараас урьдчилан сэргийлэх боломжтой. Илрүүлэхээс урьдчилан сэргийлэх шинэ өөрчлөлтүүд эсвэл шинэ аргууд нь эцсийн цэгийн аюулгүй байдал нь ижил хортой програмын шинэ хувилбаруудыг илрүүлэхгүй байж болзошгүйг анхаарна уу.
4. Компьютерийн CPU-ийн үйл ажиллагааг хянах
   Ер нь крипто олборлогчид компьютерийн төв процессорыг олборлолтод ашигладаг. Гүйцэтгэл буурсан тухай аливаа мессежийг шинжлэх шаардлагатай ("Миний компьютер удааширч байна.").
5. Динамик DNS үйлчилгээг (DuckDNS гэх мэт) ер бусын хэрэглээнд DNS-ийг хянах

   Хэдийгээр DuckDNS болон бусад Dynamic DNS үйлчилгээнүүд нь системд угаасаа хор хөнөөл учруулдаггүй ч DuckDNS-ийг хортой програмаар ашигласнаар манай мөрдөн байцаах баг халдвар авсан хостуудыг илрүүлэхэд хялбар болгосон.

6. Гэнэтийн ослын хариу арга хэмжээний төлөвлөгөө боловсруулах
   Саарал крипто олборлох аюулыг автоматаар илрүүлж, агуулж, бууруулахын тулд ийм тохиолдлуудад шаардлагатай журам байгаа эсэхийг шалгаарай.

Варонисын хэрэглэгчиддээ анхаарна уу.
Varonis DataAlert криптомингалах хортой програмыг илрүүлэх боломжийг олгодог аюулын загваруудыг багтаасан. Хэрэглэгчид мөн хар жагсаалтад нэр дэвшиж буй домэйн дээр тулгуурлан программ хангамжийг илрүүлэх тусгай дүрмийг бий болгож болно. DatAlert-ийн хамгийн сүүлийн хувилбарыг ажиллуулж, аюул заналхийллийн зөв загваруудыг ашиглаж байгаа эсэхээ баталгаажуулахын тулд борлуулалтын төлөөлөгч эсвэл Varonis дэмжлэгтэй холбогдоно уу.

Эх сурвалж: www.habr.com