Варонис як вируси криптоминингро кашф кард: тафтишоти мо

Гурӯҳи таҳқиқоти киберамнияти мо ба наздикӣ шабакаеро таҳқиқ кард, ки дар як ширкати миёнаҳаҷм қариб пурра бо вируси криптоминг сироят шудааст. Таҳлил
намунаҳои нармафзори зараровар ҷамъоварда нишон доданд, ки тағйироти нав пайдо шудааст
чунин вирусҳо номида мешаванд Норман, бо истифода аз усулҳои гуногуни пинҳон доштани ҳузури худ. Илова бар ин, он ошкор карда шуд қабати интерактивии веб, ки метавонад ба операторони истихроҷи маъдан дахл дорад.

Баррасии омӯзиш

• Ширкати Варонис сирояти миқёси калонро бо криптоминерҳо муайян кардааст: тақрибан ҳамаи серверҳо ва истгоҳҳои кории ширкат бо чунин нармафзор сироят ёфтаанд.
• Аз замони сирояти ибтидоӣ беш аз як сол пеш, шумораи тағиротҳо ва дастгоҳҳои сироятшуда мунтазам афзоиш ёфт
• Мо як навъи нави криптоминери Monero (Норман) кашф кардем, ки усулҳои гуногунро барои пинҳон кардани он аз таҳлили нармафзори амниятӣ истифода мебарад, то ошкор нашавад.
• Аксари вариантҳои нармафзори зараровар DuckDNS (хидмати ройгони Dynamic DNS) -ро барои пайваст шудан ба маркази идоракунӣ (серверҳои C&C) ва ба даст овардани параметрҳои конфигуратсия ё фиристодани маълумоти нав истифода мебурданд.
• Норман як конкани баландсифати cryptocurrency Monero дар асоси конкани кушодаасос - XMRig мебошад
• Мо то ҳол далелҳои раднашаванда надорем, ки криптоминерҳоро бо қабати интерактивии PHP мепайвандад. Бо вуҷуди ин, барои боварӣ ҳосил кардан, ки онҳо аз як ҳамлагар меоянд, сабабҳои хуб мавҷуданд. Муҳаққиқон далелҳои иловагиро барои мавҷудият ё набудани чунин робита ҷамъоварӣ мекунанд.
• Дар ин мақола шумо метавонед бо тавсияҳои Варонис дар бораи муҳофизат аз снарядҳои веб ва криптоминерҳои дурдаст шинос шавед

Тафтиш

Тафтишот дар давоми лоиҳаи навбатии озмоишӣ оғоз ёфт Платформаҳо
киберамният Варонис (Varonis Data Security Platform), ки имкон дод, ки якчанд ҳодисаҳои шубҳаноки аномалиявӣ дар сатҳи шабака ҳангоми дархостҳои интернетӣ (тавассути прокси веб), ки бо амалҳои ғайриоддӣ дар системаи файлӣ алоқаманданд, зуд муайян карда шаванд.
Фармоишгар фавран қайд кард, ки дастгоҳҳое, ки Платформаи мо муайян кардааст
ба ҳамон корбароне тааллуқ дошт, ки ба наздикӣ дар бораи садамаҳои барномаҳо ва сустшавии шабака хабар доданд.

Дастаи мо муҳити муштариро дастӣ тафтиш карда, аз як истгоҳи сироятшуда ба дигараш мувофиқи огоҳиҳое, ки Платформаи Варонис тавлид кардааст, гузаштанд. Гурӯҳи вокуниш ба ҳодиса дар як қоидаи махсус таҳия кардааст Модули DataAlert барои ошкор кардани компютерҳое, ки фаъолона истихроҷ мекарданд, ки ба зудӣ бартараф кардани таҳдид кӯмак карданд. Намунаҳои нармафзори зараровар ҷамъовардашуда ба гурӯҳҳои криминалистӣ ва рушд фиристода шуданд ва онҳо тавсия доданд, ки ташхиси минбаъдаи намунаҳо зарур аст.
Гиреҳҳои сироятшуда тавассути зангҳои онҳо ошкор карда шуданд DuckDNS, як хидмати Dynamic DNS, ки ба корбаронаш имкон медиҳад, ки номҳои домении худро эҷод кунанд ва зуд онҳоро бо суроғаҳои IP иваз кунанд. Тавре ки дар боло зикр гардид, аксари нармафзори зараровар дар ин ҳодиса ба DuckDNS барои пайваст шудан ба маркази идоракунӣ (C&C) дастрасӣ пайдо карданд, дар ҳоле ки дигарон ба параметрҳои конфигуратсия дастрасӣ пайдо карданд ё маълумоти нав фиристоданд.

Қариб ҳамаи серверҳо ва компютерҳо бо нармафзори зараровар сироят ёфтаанд. Асосан истифода бурда мешавад
вариантҳои маъмули криптоминерҳо. Дигар нармафзори зараровар асбобҳои партови парол ва снарядҳои PHPро дар бар мегирифт, дар ҳоле ки як қатор асбобҳо дар тӯли чанд сол кор мекарданд.

Мо натиҷаҳоро ба муштарӣ пешниҳод кардем, нармафзори зарароварро аз муҳити онҳо хориҷ кардем ва сироятҳои минбаъдаро қатъ кардем.

Дар байни ҳама намунаҳои кашфшудаи криптоминерҳо, яке аз онҳо фарқ мекард. Мо ӯро ном бурдем Норман.

Бо мо вохӯред! Норман. Криптоминер

Норман як конкани баландсифати cryptocurrency Monero дар асоси рамзи XMRig мебошад. Бар хилофи дигар намунаҳои конканҳои ёфтшуда, Норман усулҳоро истифода мебарад, то онро аз таҳлили нармафзори амниятӣ пинҳон кунад, то аз ошкоркунӣ канорагирӣ кунад ва паҳншавии минбаъдаро пешгирӣ кунад.

Дар назари аввал, ин нармафзори зараровар як конкани муқаррарӣ аст, ки зери номи svchost.exe пинҳон мешавад. Аммо, тадқиқот нишон дод, ки он усулҳои ҷолибтарро барои пинҳон кардан аз ошкоркунӣ ва нигоҳ доштани кор истифода мебарад.

Раванди густариши ин нармафзори зарароварро метавон ба се марҳила тақсим кард:

• иҷроиш;
• татбиқ;
• истихроҷи маъдан.

Таҳлили қадам ба қадам

Марҳилаи 1. Иҷро

Марҳилаи аввал бо файли иҷрошавандаи svchost.exe оғоз меёбад.

Барномаи зараровар бо истифода аз NSIS (Nullsoft Scriptable Install System) таҳия шудааст, ки ғайриоддӣ аст. NSIS як системаи кушодаасос аст, ки барои эҷоди насбкунандагони Windows истифода мешавад. Мисли SFX, ин система бойгонии файлҳо ва файли скриптро эҷод мекунад, ки ҳангоми кор кардани насбкунанда иҷро карда мешавад. Файли скрипт ба барнома мегӯяд, ки кадом файлҳо бояд иҷро шаванд ва метавонанд бо дигар файлҳои бойгонӣ ҳамкорӣ кунанд.

Эзоҳ: Барои гирифтани файли скрипти NSIS аз файли иҷрошаванда, шумо бояд версияи 7zip 9.38-ро истифода баред, зеро версияҳои баъдӣ ин хусусиятро амалӣ намекунанд.

Барномаи зараровари бойгонии NSIS дорои файлҳои зерин аст:

• CallAnsiPlugin.dll, CLR.dll - модулҳои NSIS барои занги функсияҳои .NET DLL;
• 5zmjbxUIOVQ58qPR.dll - бори асосии DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - файлҳои пурборшаванда;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png танҳо файлҳое мебошанд, ки ба ҳеҷ ваҷҳ ба фаъолияти минбаъдаи зараровар алоқаманд нестанд.

Фармон аз файли скрипти NSIS, ки сарбориро иҷро мекунад, дар зер оварда шудааст.

Нармафзори зараровар тавассути занги функсияи 5zmjbxUIOVQ58qPR.dll иҷро мешавад, ки файлҳои дигарро ҳамчун параметр қабул мекунад.

Марҳилаи 2. Татбиқ

Файли 5zmjbxUIOVQ58qPR.dll бори асосӣ мебошад, ки онро аз скрипти NSIS дар боло дидан мумкин аст. Таҳлили зуди метамаълумотҳо нишон дод, ки DLL дар аввал Norman.dll ном дошт, бинобар ин мо онро чунин ном гузоштем.

Файли DLL дар .NET таҳия карда шудааст ва аз муҳандисии баръакс тавассути печидаи сегона муҳофизат карда мешавад
бо истифода аз маҳсулоти маъруфи тиҷоратӣ Agile .NET Obfuscator.

Ҳангоми иҷроиш, бисёр амалиётҳои худидоракунӣ дар раванди худ ва инчунин дар дигар равандҳо иштирок мекунанд. Вобаста аз умқи битҳои OS, нармафзори зараровар хоҳад буд
роҳҳои гуногунро ба ҷузвдонҳои система интихоб кунед ва равандҳои гуногунро оғоз кунед.

Дар асоси роҳи папкаи система, зараровар равандҳои гуногунро барои иҷро интихоб мекунад.

Сарбории воридшуда ду вазифаи асосӣ дорад: иҷрои криптомер ва пешгирии ошкор.

Агар ОС 64-бит бошад

Вақте ки файли аслии svchosts.exe (файли NSIS) иҷро мешавад, он як раванди нави худро эҷод мекунад ва ба он сарбории (1) ворид мекунад. Дере нагузашта, он notepad.exe ё explorer.exe-ро оғоз мекунад ва криптоминерро ба он ворид мекунад (2).

Пас аз ин, файли аслии svchost.exe хориҷ мешавад ва файли нави svchost.exe ҳамчун барномае истифода мешавад, ки раванди конканро назорат мекунад.

Агар ОС 32-бит бошад

Вақте ки файли аслии svchosts.exe (файли NSIS) кор мекунад, он раванди худро такрор мекунад ва ба мисли версияи 64-битӣ бори пурборро ба он ворид мекунад.

Дар ин ҳолат, нармафзори зараровар ба раванди explorer.exe корбар як бор ворид мекунад. Аз он ҷо, рамзи зараровар раванди навро оғоз мекунад (wuapp.exe ё vchost.exe) ва ба он конканро ворид мекунад.

Нармафзори зараровар далели онро пинҳон мекунад, ки он худро ба explorer.exe тавассути баргардонидани рамзи қаблан воридшуда бо роҳи wuapp.exe ва арзишҳои холӣ ворид кардааст.

Тавре ки ҳангоми кор дар муҳити 64-битӣ, раванди аслии svchost.exe хориҷ мешавад ва дуюмаш барои дубора ворид кардани рамзи зараровар ба explorer.exe истифода мешавад, агар ин раванд аз ҷониби корбар қатъ карда шавад.

Дар охири алгоритми иҷро, нармафзори зараровар ҳамеша як криптомерро ба раванди қонунии оғозкардааш ворид мекунад.

Он барои пешгирӣ кардани ошкоркунӣ тавассути қатъ кардани конкан ҳангоми оғоз кардани корбар Менеҷери Вазифа тарҳрезӣ шудааст.

Лутфан қайд кунед, ки пас аз оғоз кардани менеҷери Вазифа, раванди wuapp.exe ба итмом мерасад.

Пас аз бастани менеҷери вазифа, нармафзори зараровар раванди wuapp.exe-ро такрор ба такрор оғоз мекунад
шахтёр онро ба он меандозад.

Мархалаи 3. Шахтёр

Минери XMRig дар боло зикршударо баррасӣ кунед.

Барномаи зараровар версияи пинҳоншудаи UPX-и конканро ба notepad, exe, explorer.exe ворид мекунад,
svchost.exe ё wuapp.exe, вобаста ба умқи битҳои OS ва марҳилаи алгоритми иҷро.

Сарлавҳаи PE дар конкан хориҷ карда шудааст ва дар скриншоти зер мо мебинем, ки он бо UPX ниқоб шудааст.

Пас аз сохтани партов ва барқарор кардани файли иҷрошаванда, мо тавонистем онро иҷро кунем:

Бояд қайд кард, ки дастрасӣ ба сайти мақсадноки XMR рад карда мешавад, ки ин конканро самаранок безарар мекунад.

Конфигуратсияи Miner:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Силсилаи пурасрор PHP интиқоли маълумот ба C&C

Дар ҷараёни ин тафтишот, гурӯҳи криминалистии мо файли XSL-ро кашф кард, ки диққати онҳоро ҷалб кард. Пас аз таҳлили амиқи намуна, қабати нави PHP кашф карда шуд, ки пайваста ба маркази идоракунӣ (сервери C&C) пайваст мешавад.

Дар якчанд серверҳои муҳити муштарӣ файли XSL ёфт шуд, ки аз ҷониби файли иҷрошавандаи маъруфи Windows (mscorsv.exe) аз ҷузвдон дар феҳристи sysWOW64 оғоз карда шудааст.

Папкаи нармафзори зараровар AutoRecover ном дошт ва онро дар бар мегирад якчанд файлҳо:

• Файли XSL: xml.XSL
• нӯҳ файли DLL

Файлҳои иҷрошаванда:

• Mscorsv.exe
• Wmiprvse.exe

файли XSL

Файлҳои XSL варақаҳои услубӣ мебошанд, ки ба онҳое, ки дар CSS истифода мешаванд, чӣ гуна намоиш додани ҳуҷҷати XML-ро тавсиф мекунанд.

Бо истифода аз Notepad, мо муайян кардем, ки он дар асл файли XSL нест, балки рамзи PHP, ки аз ҷониби Zend Guard печида шудааст. Ин далели аҷиб нишон дод, ки ин буд
сарбории нармафзори зараровар дар асоси алгоритми иҷрои он.

Нӯҳ DLL

Таҳлили ибтидоии файли XSL ба хулосае омад, ки мавҷудияти чунин рақам
DLLҳо маънои муайян доранд. Папкаи асосӣ дорои DLL бо номи php.dll ва се китобхонаи дигари марбут ба SSL ва MySQL мебошад. Дар зерпапкаҳо коршиносон чаҳор китобхонаи PHP ва як китобхонаи Zend Guard пайдо карданд. Ҳамаи онҳо қонунӣ мебошанд ва аз бастаи насби PHP ё ҳамчун dll-ҳои беруна гирифта мешаванд.

Дар ин марҳила тахмин карда мешуд, ки нармафзори зараровар дар асоси PHP сохта шудааст ва аз ҷониби Zend Guard печида шудааст.

Файлҳои иҷрошаванда

Инчунин дар ин ҷузвдон ду файли иҷрошаванда мавҷуд буданд: Mscorsv.exe ва Wmiprvse.exe.

Пас аз таҳлили файли mscorsv.exe, мо муайян кардем, ки он аз ҷониби Microsoft имзо нашудааст, гарчанде ки параметри ProductName он ба "Microsoft. Net Framework".
Дар аввал ин аҷиб менамуд, аммо таҳлили Wmiprvse.exe ба мо имкон дод, ки вазъиятро беҳтар дарк кунем.

Файли Wmiprvse.exe низ имзонашуда буд, аммо дорои рамзи ҳуқуқи муаллифии гурӯҳи PHP ва нишонаи PHP буд. Назари зуд ба сатрҳои он фармонҳоро аз ёрии PHP ошкор кард. Вақте ки бо гузариши -version иҷро шуд, маълум шуд, ки он як файли иҷрошаванда аст, ки барои идора кардани Zend Guard пешбинӣ шудааст.

Вақте ки mscorsv.exe ба таври шабеҳ оғоз карда шуд, ҳамон маълумот дар экран намоиш дода шуд. Мо маълумоти бинарии ин ду файлро муқоиса кардем ва дидем, ки онҳо якхелаанд, ба истиснои метадата
Ҳуқуқи муаллифӣ ва номи ширкат/номи маҳсулот.

Дар асоси ин хулоса бароварда шуд, ки файли XSL дорои рамзи PHP мебошад, ки бо истифода аз файли иҷрошавандаи Zend Guard, ки зери номи mscorsv.exe пинҳон шудааст, кор мекард.

Таҳлили файли XSL

Бо истифода аз ҷустуҷӯи интернет, мутахассисон зуд асбоби деобфускатсияи Zend Guard-ро дарёфт карданд ва намуди аслии файли xml.XSL-ро барқарор карданд:

Маълум шуд, ки худи нармафзори зараровар як қабати PHP мебошад, ки пайваста ба маркази идоракунӣ (сервери C&C) пайваст аст.

Фармонҳо ва баромади он мефиристад ва қабул мекунад, рамзгузорӣ карда мешавад. Азбаски мо рамзи сарчашма доштем, мо ҳам калиди рамзгузорӣ ва ҳам фармонҳоро доштем.

Ин нармафзори зараровар дорои функсияҳои дохилии зерин мебошад:

• Eval - Одатан барои тағир додани тағирёбандаҳои мавҷуда дар код истифода мешавад
• Сабти файли маҳаллӣ
• Имкониятҳои кор бо пойгоҳи додаҳо
• Имкониятҳои кор бо PSEXEC
• Иҷрои пинҳонӣ
• Равандҳо ва хидматҳои харитасозӣ

Тағйирёбандаи зерин нишон медиҳад, ки нармафзори зараровар дорои версияҳои сершумор аст.

Ҳангоми ҷамъоварии намунаҳо версияҳои зерин пайдо шуданд:

• 0.5f
• 0.4p
• 0.4o

Ягона вазифаи таъмини мавҷудияти доимии нармафзори зараровар дар система ин аст, ки ҳангоми иҷро шудан он хидматеро эҷод мекунад, ки худаш иҷро мешавад ва номи он
аз версия ба версия тағйир меёбад.

Коршиносон кӯшиш карданд, ки намунаҳои шабеҳро дар Интернет пайдо кунанд ва нармафзори зарароварро кашф карданд
ки ба акидаи онхо варианти пештараи намунаи мавчуда буд. Мундариҷаи ҷузвдон шабеҳ буд, аммо файли XSL дигар буд ва рақами версияи дигар дошт.

Барномаи зараровар Parle-Vu?

Эҳтимол, нармафзори зараровар дар Фаронса ё дигар кишвари фаронсазабон пайдо шуда бошад: файли SFX бо забони фаронсавӣ шарҳҳо дошт ва нишон медиҳад, ки муаллиф барои сохтани он версияи фаронсавии WinRAR-ро истифода кардааст.

Ғайр аз он, баъзе тағирёбандаҳо ва функсияҳо дар код низ ба забони фаронсавӣ номгузорӣ шудаанд.

Мониторинги иҷро ва интизори фармонҳои нав

Коршиносон рамзи нармафзори зарароварро тағир доданд ва бехатарии аллакай тағирёфтаро оғоз карданд
версия барои ҷамъоварии маълумот дар бораи фармонҳои гирифтааш.

Дар охири ҷаласаи аввалини иртиботӣ, коршиносон диданд, ки нармафзори зараровар фармонеро гирифтааст, ки бо истифода аз Base64 ҳамчун далел барои калиди оғози EVAL64 рамзгузорӣ шудааст.
Ин фармон рамзкушоӣ ва иҷро карда мешавад. Он якчанд тағирёбандаҳои дохилиро тағир медиҳад (андозаи буфери хондан ва навиштан), пас аз он нармафзори зараровар ба як давраи корӣ ворид мешавад, ки интизори фармонҳо мешавад.

Дар айни замон ягон фармони нав гирифта нашудааст.

Қабули интерактивии PHP ва криптоминер: оё онҳо бо ҳам алоқаманданд?

Мутахассисони Варонис мутмаин нестанд, ки Норман бо қабати PHP алоқаманд аст, зеро далелҳои қавӣ ҳам ба тарафдорӣ ва ҳам муқобили ин фарзия мавҷуданд:

Чаро онҳо метавонанд алоқаманд бошанд?

• Ҳеҷ яке аз намунаҳои нармафзори шубҳаноки криптоминг қобилияти мустақилона ба системаҳои дигар паҳн шуданро надошт, гарчанде ки онҳо дар дастгоҳҳои гуногун дар сегментҳои гуногуни шабака пайдо шуданд. Эҳтимол дорад, ки ҳамлакунанда ҳар як гиреҳро алоҳида сироят кунад (шояд ҳамон вектори ҳамларо, ки ҳангоми сироят кардани Patient Zero истифода мекунад), гарчанде ки истифодаи қабати PHP барои паҳн кардани тамоми шабака, ки ҳадафи ҳамла буд, самараноктар мебуд.
• Маъракаҳои васеъмиқёси автоматии мақсаднок, ки бар зидди як созмони мушаххас нигаронида шудаанд, аксар вақт артифактҳои техникӣ ё осори шинохташавандаи таҳдидҳои киберамниятро тарк мекунанд. Дар ин ҳолат, чизе аз ин монанд пайдо нашуд.
• Ҳам Norman ва ҳам қабати PHP аз хидмати DuckDNS истифода мекарданд.

Чаро онҳо метавонанд алоқаманд бошанд?

• Байни вариантҳои нармафзори зараровари криптоминг ва қабати PHP ягон шабоҳати техникӣ вуҷуд надорад. Криптоминери зараровар дар C++ сохта шудааст ва қабат дар PHP аст. Инчунин, дар сохтори код ягон шабоҳат вуҷуд надорад ва функсияҳои шабака ба таври гуногун амалӣ карда мешаванд.
• Байни вариантҳои нармафзори зараровар ва қабати PHP барои мубодилаи маълумот иртиботи мустақим вуҷуд надорад.
• Онҳо шарҳҳои таҳиякунанда, файлҳо, метадата ё изи ангуштони рақамиро мубодила намекунанд.

Се тавсия барои муҳофизат аз снарядҳои дурдаст

Барномаи зараровар, ки барои кор фармудани маркази идоракуниро (серверҳои C&C) талаб мекунад, ба вирусҳои муқаррарӣ монанд нест. Амалҳои ӯ чандон пешгӯинашаванда нестанд ва бештар ба амалҳои ҳакер ё пентестер монанд хоҳанд буд, ки бидуни асбобҳо ё скриптҳои автоматӣ иҷро мешаванд. Аз ин рӯ, ошкор кардани ин ҳамлаҳо бидуни имзои нармафзори зараровар нисбат ба сканкунии муқаррарии антивирус мушкилтар аст.

Дар зер се тавсия барои ҳифзи ширкатҳо аз снарядҳои дурдаст оварда шудаанд:

1. Ҳама нармафзорро навсозӣ кунед
   Ҳамлагарон аксар вақт осебпазириро дар нармафзор ва системаҳои оператсионӣ истифода мебаранд, то дар шабакаи созмон паҳн шаванд ва маълумоти мавриди таваҷҷӯҳро ҷустуҷӯ кунанд.
   дуздӣ. Ямоқи саривақтӣ хатари чунин таҳдидҳоро ба таври назаррас коҳиш медиҳад.
2. Мониторинги рӯйдодҳои дастрасии ғайримуқаррарии маълумот
   Эҳтимол, ҳамлагарон кӯшиш мекунанд, ки маълумоти махфии созмонро берун аз периметр гиранд. Мониторинги ҳодисаҳои дастрасии ғайриоддӣ ба ин маълумот имкон медиҳад
   корбарони осебдида ва тамоми маҷмӯи ҷузвдонҳо ва файлҳоро, ки воқеан ба дасти ҳамлагарон афтода метавонанд, ошкор кунед ва на танҳо ҳама маълумоти дастраси ин корбаронро ба назар гиред.
3. Мониторинги трафики шабака
   Истифодаи брандмауэр ва/ё сервери прокси метавонад пайвастҳои зарароварро ба марказҳои назоратии нармафзори зараровар (серверҳои C&C) ошкор ва маҳкам карда, ба ҳамлагарон аз иҷрои фармонҳо монеъ шавад ва иҷрои онро мушкилтар кунад.
   маълумоти периметри.

Дар бораи масъалаи истихроҷи хокистарранг? Шаш тавсия барои муҳофизат:

1. Ҳама системаҳои оператсионии навро нигоҳ доред
   Идоракунии часпакҳо барои пешгирии истифодаи нодурусти захираҳо ва сироятҳои зараровар хеле муҳим аст.
2. Трафики шабака ва прокси вебро назорат кунед
   Ин корро барои ошкор кардани баъзе ҳамлаҳо анҷом диҳед ва барои пешгирии баъзе аз онҳо шумо метавонед трафикро дар асоси маълумот дар бораи доменҳои зараровар маҳкам кунед ё каналҳои интиқоли маълумотро маҳдуд кунед.
3. Қарорҳои антивирусӣ ва системаҳои амнияти нуқтаҳоро истифода ва нигоҳ доред (Аммо ба ҳеҷ ваҷҳ худро бо истифодаи ин қабати муҳофизат маҳдуд накунед).
   Маҳсулоти ниҳоӣ метавонанд криптоминерҳои маъруфро ошкор кунанд ва сироятҳоро пеш аз он ки онҳо ба кори система ва истифодаи энергия зарар расонанд, пешгирӣ кунанд. Лутфан огоҳ бошед, ки тағиротҳои нав ё усулҳои нави пешгирии ошкоркунӣ метавонанд боиси нокомии амнияти нуқтаҳои охирини версияҳои нави ҳамон як нармафзори зараровар шаванд.
4. Фаъолияти CPU-и компютерро назорат кунед
   Одатан, конканҳои крипто барои истихроҷ протсессори марказии компютерро истифода мебаранд. Ҳама гуна паёмҳоро дар бораи паст шудани кор таҳлил кардан лозим аст (“Компютери ман суст шуданро оғоз кард.”).
5. Мониторинги DNS барои истифодаи ғайриоддии хидматҳои Dynamic DNS (ба монанди DuckDNS)

   Гарчанде ки DuckDNS ва дигар хидматҳои Dynamic DNS табиатан ба система зараровар нестанд, истифодаи DuckDNS аз ҷониби нармафзори зараровар барои гурӯҳҳои тафтишотии мо ошкор кардани ҳостҳои сироятшударо осонтар кард.

6. Нақшаи вокуниш ба ҳодисаҳоро таҳия кунед
   Боварӣ ҳосил кунед, ки шумо барои чунин ҳодисаҳо тартиботи зарурӣ доред, то хатари истихроҷи крипто хокистариро ба таври худкор ошкор, нигоҳ доштан ва коҳиш диҳед.

Эзоҳ ба муштариёни Varonis.
Varonis DataAlert моделҳои таҳдидро дар бар мегирад, ки имкон медиҳанд, ки нармафзори зараровари криптоминингро ошкор кунанд. Мизоҷон инчунин метавонанд қоидаҳои фармоиширо барои муайян кардани нармафзор дар асоси доменҳое, ки номзадҳои рӯйхати сиёҳ мебошанд, эҷод кунанд. Барои боварӣ ҳосил кардан, ки шумо версияи охирини DatAlert-ро иҷро карда истодаед ва моделҳои дурусти таҳдидро истифода мебаред, бо намояндаи фурӯш ё дастгирии Varonis тамос гиред.

Манбаъ: will.com