一部の暗号通貨は最近になって下落していますが、暗号通貨マイニング キャンペーンは依然として収益性が高い、一般的な攻撃ベクトルとして拡散しています。こうしたキャンペーンは拡散が容易なこともあり、標的マシンの処理能力を盗んで暗号通貨を生み出す手軽な方法として見なされています。同時に、従来のサービス妨害攻撃やマルウェア キャンペーンよりも検出されにくいため、攻撃者にとってはリスクが低く安定した足掛かりともなっています。Cyber Threat Alliance は、Cisco Talos などの CTA メンバーの協力の下、暗号通貨キャンペーンに関するホワイトペーパー (英語)
をリリースしました。この中では、拡散を続ける暗号通貨キャンペーンについて、組織や個々のユーザが知っておくべき事柄を詳述しています。
暗号通貨キャンペーンは攻撃者にとって技術的障壁が低いことや、キャンペーンから保護する更新プログラムが多数存在することなども説明されています。技術的障壁の低さは多数の攻撃者を引き寄せており、攻撃の回数や頻度も上昇しています。これまで Cisco Talos でも、1 つのサンドボックスに複数の攻撃者が侵入し、不正な暗号通貨マイニング ツールを実行する光景を頻繁に目撃してきました。暗号通貨キャンペーンでは、よく知られた脆弱性が悪用されていますが、これは防御側に警鐘を鳴らしています。つまり、組織内で不正な暗号通貨マイニング ツールが 1 件でも発見された場合、システム全体で同じ脆弱性が突かれて不正侵入されている可能性が高いのです。これはより深刻な被害につながる危険性もあります。
以前のカバレッジ
Snort シグネチャにより、多岐にわたる不正な暗号通貨マイニング ツールや関連マルウェアのダウンロードを阻止し、それらが一般的に使用するプロトコルをブロックできます。
次の SID は、不正な暗号通貨マイニング ツールや関連クライアントのダウンロードを検出します。
44692-44693、45265-45268、45809-45810、45949-45952,
46365-46366、46370-46372。
次の SID は、暗号通貨キャンペーンに関連するマルウェアの亜種を検出します。
20035、20057、26395、28399、28410–28411、29493 – 29494、29666、30551– 30552、31271- 31273、31531 – 31533, 32013、33149、43467 – 43468、44895 – 44899、45468 – 45473、45548、45826 – 45827、46238 – 46240。
次の SID は、暗号通貨キャンペーンで使用される Stratum プロトコルを検出します。
26437, 40840 – 40842、45417、45549 – 45550、45825、45955。
今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行の Snort ルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management CenterのConsoleまたは Snort.org を参照してください。
本稿は 2018年9月19日に Talos Group
Authors