چگونه می‌توان با استخراج‌ غیرقانونی رمزارز مقابله کرد؟

کمیته رکن چهارم – استخراج ارز دیجیتال معمولاً در دنیا غیرقانونی نیست، اما استفاده‌ی بدون اجازه از یک رایانه یا شبکه‌ برای انجام این کار مسلماً در چارچوب قانون نخواهد بود. در این مقاله به نحوه‌ی تشخیص اینکه آیا کسی منابع سیستم یا شبکه‌ی شما را به‌ منظور استخراج رمزارز مورد استفاده قرار داده یا نه، خواهیم پرداخت.

توکن‌های مجازی‌ای که ارزهای دیجیتال از آن‌ها به‌عنوان سکه استفاده می‌کنند، زمانی ضرب می‌شوند که تعداد زیادی از مسائل ریاضی پیچیده‌، حل شده باشند. تلاش محاسباتی مورد نیاز برای حل این مشکلات، بسیار زیاد است.

این یک تلاش مشترک بزرگ است که در آن بسیاری از رایانه‌ها به یکدیگر متصل شده‌اند تا پلتفرمی به‌ نام استخر (Pool) برای پردازش توزیع‌شده تشکیل دهند. حل مسائل ریاضی یا کمک به حل آن‌ها با عنوان استخراج شناخته می‌شود. ثبت تراکنش‌های انجام‌شده با ارز دیجیتال مثل خرید و پرداخت نیز نیازمند استخراج است. پاداش استخراج مقدار کمی از ارز دیجیتال خواهد بود.

ضرب سکه‌های جدید با گذشت زمان سخت‌تر خواهد شد. هر ارز دیجیتال، تعداد از پیش تعیین‌شده‌ای سکه را در طور عمرش ضرب خواهد کرد. همان‌طور که با گذشت زمان سکه‌های بیشتری ایجاد می‌شود، سکه‌های کم‌تری برای ایجاد شدن باقی خواهد ماند و تلاش لازم برای استخراج و ضرب سکه‌های جدید افزایش خواهد یافت. روزهایی که امکان کسب درآمد از طریق رمزنگاری در مقیاس کوچک وجود داشت، گذشته است و امروزه مقدار برقی که برای استخراج استفاده می‌کنید سود اندک ارز دیجیتال شما را از بین خواهد برد.

رمزنگاری سودآور به دکل‌های تخصصی و حتی کل مزارع ماشین‌آلات مرتبط با این کار نیاز دارد. هزینه‌های سخت‌افزاری و هزینه‌های جاری نیز همیشه باید جبران شوند. بنابراین حتی در این شرایط نیز همه‌ی پول به‌دست‌آمده رایگان نخواهد بود؛ البته مگر اینکه از منابع محاسباتی شخص دیگری برای انجام عملیات استخراج استفاده کنید. استفاده از منابع IT شخص دیگری بدون اجازه، جرم محسوب می‌شود اما این مورد برای مجرمان سایبری بازدارنده نیست.

هکرها می‌توانند با استفاده از حملات فیشینگ یا وب‌سایت‌های آلوده، به‌راحتی بدافزار رمزنگاری را بدون اطلاع شما نصب کرده و چرخه‌های برق و پردازنده‌ی شما را کنترل کنند. یکی دیگر از روش‌های استخراج ارز دیجیتال این است که وب‌سایت‌ها را آلوده می‌کنند تا مرورگرهای بازدیدکنندگان به یک استخر رمزنگاری بپیوندد و سپس اسکریپ‌های رمزنگاری جاوا اسکریپ اجرا خواهد شد. عاملان تهدید از هر روشی که استفاده کنند، به آن کریپتوجکینگ (Cryptojacking) می‌گویند؛ عملیاتی که به هکرها اجازه می‌دهد تا زمانی که هنوز قربانیان این عملیات با قبض‌های آب و برق بالاتر و کاهش عملکرد مواجه نشده‌اند، به سود دست یابند.

از آنجا که هکرها سعی دارند تا آنجا که ممکن است رایانه‌های زیادی را در سازمان‌های مختلف به خطر بیندازند، مجموعه‌‌ی رایانه‌های آن‌ها بزرگ‌تر و قدرتمندتر خواهد شد. این قدرت به این معنی است که آن‌ها می‌توانند به‌طور مادی به فرایندهای استخراج کمک کرده و پاداش دریافت کنند.

استخراج در مقیاس بزرگ

کریپتوماینینگ حتی توسط برخی از گرو‌ه‌هایی که تحت حمایت دولت‌ها فعالیت می‌‌کنند نیز انجام می‌شود. مایکروسافت در وبلاگ امنیتی خود توضیح داده یک گروه جاسوسی تحت حمایت دولت، چگونه سرقت رمزنگاری‌شده را به روش‌های معمولی فعالیت‌های مجرمانه‌ی سایبری خود اضافه کرده است.

این گروه‌ها حملات گسترده‌ای را در فرانسه و ویتنام انجام داده‌اند و از این روش برای استخراج ارز دیجیتال محبوب مونرو (Monero) بهره گرفته‌اند. استخراج ارز دیجیتال در مقیاس بزرگ مثل این حملات، مسلماً باعث سودآوری برای گروه‌های مذکور خواهد شد.

چگونه می‌توان کریپتوجکینگ را تشخیص داد؟

اگر شما یا کاربرانتان متوجه کاهش عملکرد رایانه‌ها یا سرورها شده‌اید و بار پردازنده‌ی مرکزی و فعالیت فن بالا است، شاید این موارد نشانه‌هایی از این باشد که کریپتوجکینگ در حال انجام است.

گاهی اوقات وصله‌های سیستم‌عامل یا برنامه‌ای که امنیت بالایی ندارد نیز می‌تواند اثرات نامطلوبی در عملکرد سیستم‌ها ایجاد کند که علائم آن شبیه نشانه‌های کریپتوجکینگ است؛ اما در صورتی‌که آسیب به سیستم به‌طور گسترده و ناگهانی صورت گیرد و و علاوه‌بر این هیچ وصله‌ی برنامه‌ریزی شده‌ای روی آن سیستم اجرا نشده باشد، ممکن است با یک حمله‌ی رمزنگاری مواجه باشید.

برخی از نرم‌افزارهای رمزنگاری هوشمندتر، هنگامی‌ که متوجه آستانه‌ی مشخصی از فعالیت قانونی کاربر شوند، بار وارد شده روی پردازنده‌ی مرکزی را محدود می‌کنند. این امر تشخیص سرقت رمزنگاری را سخت‌تر خواهد کرد، اما نشانگر جدیدی را هم معرفی می‌کند. اگر پردازنده‌ی مرکزی و فن‌ها در زمانی که هیچ عملیات خاصی روی رایانه رخ نمی‌دهد بالاتر رود، در این وضعیت احتمالاً سیستم شما با سرقت رمزنگاری‌شده روبه‌رو است.

نرم‌افزار کریپتوجکینگ همچنین می‌تواند با تظاهر به اینکه فرایندی متعلق به یک برنامه‌ی قانونی است، ترکیب شود. این نرم‌افزارها می‌توانند از تکنیک‌هایی مثل بارگذاری جانبی فایل‌های DLL بهره ببرند؛ روشی که در آن یک DLL مخرب جایگزین یک DLL قانونی خواهد شد. DLL هنگام راه‌اندازی توسط یک برنامه‌ی Bone Fide یا یک برنامه‌ی Doppelganger که در پشت‌صحنه دانلود شده‌، فراخوانی خواهد شد.

DLL تقلبی پس از فراخوانی، یک فرایند کریپتوماینینگ را راه‌اندازی خواهد کرد. اگر بار بالای پردازنده‌ی مرکزی بررسی شود، به‌نظر خواهد رسید که یک برنامه‌ی کاربری قانونی، عملکردی نامطلوب دارد.

اکنون با انجام چنین اقداماتی توسط نویسندگان بدافزار، چگونه می‌توان کریپتوجکینگ را به‌عنوان یک فرایند مخرب تشخیص داد و آن را با یک برنامه‌ی عادی، اشتباه نگرفت؟

یکی از روش‌ها، بررسی فایل‌های گزارش‌ دستگاه‌های شبکه مثل دیواره‌های آتشین (فایروال)، سرورهای DNS و سرورهای پراکسی و جست‌وجوی اتصالات به استخرهای رمزنگاری شناخته‌شده است. فهرستی از ارتباطاتی که کریپتوماینرها استفاده می‌کنند را تهیه کرده و آن‌ها را مسدود سازید. به‌عنوان مثال، این الگوها اکثر استخرهای رمزنگاری مونرو را مسدود خواهند کرد.

*xmr.*
*pool.com
*pool.org
pool.*

نقطه‌ی مقابل این تاکتیک این است که اتصالات خارجی خود را به نقاط پایانی شناخته‌شده و معتبر محدود کنید، اما این کار با زیرساخت مبتنی بر فناوری ابری، به‌طور قابل‌توجهی سخت‌تر است. این امر برای اطمینان از مسدود نشدن دارایی‌های قانونی، مستلزم بررسی و نگه‌داری مداوم است.

ارائه‌دهندگان خدمات ابری می‌توانند تغییراتی ایجاد کنند که بر نحوه‌ی دیده شدن آن‌ها از دنیای خارج تأثیر بگذارد. مایکروسافت این کار را به‌ کمک فهرستی از همه‌ی محدوده‌های آدرس IP سرویس آژور که هر هفته به‌روزرسانی می‌شود، انجام می‌دهد. البته همه‌ی ارائه‌دهندگان خدمات ابری مثل مایکروسافت نیستند و بعضاً از سازماندهی مناسبی بهره نمی‌برند.

مسدود کردن کریپتوماینینگ

بیشتر مرورگرهای وب محبوب از افزونه‌های مسدود کننده‌ی کریپتوماینینگ، پشتیبانی می‌کنند. برخی از مسدودکننده‌های تبلیغاتی، توانایی شناسایی و توقف اجرای فرایندهای رمزنگاری جاوا اسکریپت را دارند.

مایکروسافت در حال آزمایش ویژگی جدیدی در مرورگر اج (Edge) است. اسم رمز این قابلیت جدید Super Duper Secure Mode است. این ویژگی با خاموش کردن کامل کامپایل Just in Time در موتور جاوا اسکریپت V8، سطح حمله‌ی مرورگر را به‌ شدت کوچک می‌کند.

این کار، امکان اجرا شدن فرایندهای استخراج رمزارز را کاهش خواهد داد، اما لایه‌ی قابل‌توجهی از پیچیدگی را از مرورگر حذف می‌کند. پیچیدگی جایی است که باگ‌ها وارد می‌شود. باگ‌ها منجر به آسیب‌پذیری‌هایی خواهد شد که وقتی مورد سوءاستفاده قرار گیرند، سیستم در معرض خطر قرار خواهد گرفت. بسیاری از آزمایش‌کنندگان هیچ کاهش عملکرد متفاوتی را در استفاده از نسخه‌های آزمایشی اج گزارش نمی‌دهند.

درباره‌ی این موضوعات، مثل همیشه پیشگری بهتر از درمان است. بهداشت سایبری خوب با آموزش شروع می‌شود. اطمینان حاصل کنید که کارکنان شما می‌توانند تکنیک‌های معمول حمله‌ی فیشینگ و علائم نشان‌دهنده‌ی آن را تشخیص دهند. اطمینان حاصل کنید که آن‌ها احساس راحتی کرده و نگرانی‌های خود را مطرح می‌کنند. باید کارمندان را به‌نحوی توجیه کرد که بتوانند به‌راحتی نگرانی‌های خود را گزارش داده و ارتباطات مشکوک، پیوست‌ها یا رفتارهای سیستم را اطلاع دهند.

بهتر است همیشه در صورت دسترسی به روش احراز هویت دو مرحله‌ای، از این قابلیت استفاده کنید.

امتیازها را به‌گونه‌ای اختصاص دهید که افراد فقط برای انجام نقش خود دسترسی و آزادی مورد نیاز را داشته باشند و نه بیشتر.

برای مسدود کردن ایمیل‌های فیشینگ و ایمیل‌های دارای ویژگی‌های مشکوک، از فیلتر ایمیل استفاده کنید. البته سیستم‌های مختلف، قابلیت‌های متفاوتی ارائه می‌دهند. اگر پلتفرم ایمیل شما بتواند لینک‌های موجود در متن ایمیل را پیش از اینکه کاربر روی آن کلیک کند مورد بررسی قرار دهد؛ موفق خواهید بود.

فایل‌های گزارش تولیدشده توسط فایروال، پراکسی و DNS خود را بررسی کرده و به‌دنبال ارتباطات غیرقابل توضیح باشید. ابزارهای خودکار می‌توانند در این راه به شما کمک کنند. سپس می‌توانید در صورت نیاز دسترسی به استخرهای رمزنگاری شناخته‌شده را مسدود سازید.

منبع : زومیت

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.