Видит ли провайдер майнинг
Добыча криптовалюты — перспективный, а потому и активно обсуждаемый способ заработка в онлайне. Какое оборудование выгоднее использовать, сколько можно заработать, сколько интернета и трафика понадобится на работу фермы для успешного майнинга? Все это на слуху, но многие из расхожих мнений по этим и ряду других вопросов, касающихся криптомира, по-прежнему не соответствуют действительности.
Статья даст развернутый ответ на вопрос, какой трафик и в каком количестве нужен для майнинга, почему так важен пинг и как на самом деле ваше онлайн-подключение влияет на ваш доход от фермы.
Спойлер: важно качество, а не количество.
Найди меня, если сможешь
Чтобы найти майнеров, предлагается ввести специальную систему, которая будет вычислять майнеров по объему потребления тока и интернет-трафика. Это нужно для того, чтобы была возможность соотносить мощность майнингового оборудования с тем объемом криптовалюты, которое майнер будет декларировать на криптобирже. Как и было сказано выше, для майнеров будут введены квоты на электроэнергию и спецтариф.
Все эти меры обозначены в концепции регулирования майнинга, авторами которой стали сотрудники в Минкомсвязи. Изданию «Ведомости» удалось с ней ознакомиться. Подлинность концепции была подтверждена источниками, которые знают текст документа.
Как пишет издание, майнеры получат двухлетние налоговые каникулы, однако затем они обязаны будут вести бухгалтерский учет. После того как каникулы закончатся, юрлицам придется уплачивать налог на прибыль, а НДС – нет. Вместе с этим в концепции четко не обозначено, какой налог будут платить частные майнеры. Соответствующий документ пока не принят. Планируется, что до первого февраля он будет доработан и передан в правительство.
Как искать
На хостах
Обычно, подозрения у пользователя появляются тогда, когда компьютер вдруг начинает тормозить. В первую очередь проверим, что у нас с процессами.
Для Windows это можно сделать с помощью Диспетчера задач (Ctrl+Alt+Del или Ctrl+Shift+Esc), для Mac — Activity monitor, для «UNIX, Unix-подобных и других POSIX-совместимых операционных систем» — ps.
Реальный ДЗ, после которого и появилась идея написать статью. Но тогда обошлось, оказалось, что несколько ресурсоёмких легитимных процессов запустились одновременно.
Проблема в том, что некоторые майнеры научились отслеживать запуск Диспетчера задач. Они прекращают работать, пока открыт ДЗ, и потом перезапускают себя. Как вариант — попробовать альтернативы:
- System Explorer
- Process Hacker
- Process Lasso
- Process Explorer (привет, Марк!)
- Process Monitor
В этом нелёгком деле, как ни странно, могут помочь и сами создатели майнеров. Поскольку для них главной целью является вычислительные ресурсы компьютера, то им не хочется за них конкурировать с другими майнерами. В самом конце марта консультант по безопасности Xavier Mertens (xme) обнаружил код, который «гасит» конкурирующие процессы добычи и некритичные для нормальной работы процессы ОС, чтобы освободить ресурсы для себя. В коде указаны названия процессов-майнеров:
Silence | vshell | taskhots |
Carbon | winlogan | svchostx |
xmrig32 | winlogo | xmr86 |
nscpucnminer64 | logon | xmrig |
mrservicehost | win1nit | xmr |
servisce | wininits | win1ogin |
svchosts3 | winlnlts | win1ogins |
svhosts | taskngr | ccsvchst |
system64 | tasksvr | nscpucnminer64 |
systemiissec | mscl | update_windows |
taskhost | cpuminer | |
vrmserver | sql31 |
Если какой из этих процессов запущен на машине, поздравляю! Скорее всего, вы майните для кого-то. Вот так создатель малвари сделал за нас часть исследовательской работы.
Не стоит забывать и про системы защиты конечных точек. Хорошие антивирусы научились ловить майнеров. Главное не забыть в Настройках указать антивирусу, что их надо блокировать. Это не всегда включено по умолчанию, потому что пользователь может осознанно скачать, установить и запустить это ПО.
Идём на сайт антивирусного вендора, скачиваем образ диска восстановления, записываем на носитель, грузимся с него и проверяем систему. Долго, но не особо сложно.
Всё, что было написано выше, относится к тому случаю, когда пользователю не хочется иметь на своём ПК программу-майнера. Он сознательный, заметил и сообщил. Но что делать, если пользователь сам хочет майнить и не собирается никому об этом говорить?
В сети
Конечно, есть что половить и в сети! Мне попалась вот такая занятная картинка:
Наблюдение за сетью — способ найти «несознательных» пользователей и вредоносное майнинговое ПО.
Что нас должно насторожить:
- Посещение сайтов, форумов, борд про майнинг. Аналитики нашего Центра мониторинга и рядом сидящие коллеги на меня уже косо поглядывают).
- Скачивание ПО для майнинга, а с последними новостями про множественные форки популярных продуктов на гитхабе с последующим встраиванием туда дропперов — вообще любого ПО. Либо принудительно проверять всё, что прилетело (есть коммерческие решения, которые не отправляют проверяемые файлы в «облако»), либо просить пользователей отправлять дистрибутивы программ, вложения или исполняемые файлы на Virustotal.
- Сетевое взаимодействие узлов с пулами для обмена информацией о полученных блоках и хешах.
- нашли подозрительное в трафике;
- пришли на конкретный узел и убедились, что работает майнер;
- удалили его, используя нагугленные для конкретного ВПО рекомендации; сотрудника, который майнил на наших серверах;
- и даже отправили образец ВПО и дамп трафика на анализ в Virustotal или своему любимому вендору.
Как происходит процесс майнинга
Майнинг криптовалют возможен благодаря Интернету — с помощью сетевого трафика майнеры обмениваются с пулом информацией, речь идет о правильных решениях вычислительных задач. Первая вычислительная машина, нашедшая правильное решение задачи (блок) с наибольшим количеством подтверждений результата, забирает для своего владельца вознаграждение за проделанную работу. Те, кто не успел найти ответ или прислал его, когда время истекло, не получают ничего.
Чем быстрее будет найдено правильное решение, тем выше шансы получить доход. Именно поэтому важно быть быстрее конкурентов и успеть передать по Интернету найденный ответ, особенно при добыче монет с небольшим временем между блоками.
Например, для майнинга Биткоина что асиком, что видеокартой, пинг и проблемы с трафиком играют не такую важную роль, как при добыче других валют — между блоками Битка у майнеров есть около 20 минут, опоздать сложно даже при большом желании. А вот у тех, кто охотится за Эфиром, времени в обрез — между блоками этой криптовалюты заложено всего 15 секунд. И если ваш компьютер пришлет на сервер пула верное решение через 16 секунд, когда будет создан уже новый блок, такое решение не будет принято. В итоге никакого вознаграждения вы не получите, только увеличившийся за потраченную электроэнергию счет.
Как видите, ответ на вопрос, сколько майнинг вашей криптовалюты потребляет трафика, имеет значение — от этого зависит, сколько вы сможете заработать.
Сложные тонкости
Ссылаясь на эксперта, издание объясняет, что у майнеров круглые сутки потребление энергии происходит в одинаковом объеме, как, например, на алюминиевом заводе. Поэтому вычислить майнера будет не так уж и сложно.
Есть вариант определить майнера и по его интернет-трафику, однако в этом случае майнеру будет проще спрятаться. Как объясняет Константин Виноградов из фонда Runa Capital, если есть возможность зашифровать трафик, то найти его будет практически нереально. Он добавляет, что майнеров можно искать и там, «где дешевая электроэнергия и резко возросло ее потребление». У крупных майнеров тоже есть возможность спрятаться: для этого надо распределить мощности, либо спрятаться у крупных потребителей энергии.
Что касается майнеров среди дата-центров, то обнаружить их практически невозможно. Это трудоемкий процесс: надо приходить в каждый из них и смотреть, нет ли оборудования для майнинга. Но и здесь есть свои тонкости. Как поясняет интернет-омбудсмен и владелец компании Radius Group (дата-центры) Дмитрий Мариничев, внешне это оборудование почти не отличается. По его словам, установить домашний майнинг можно, однако чтобы доказать его, надо обнаружить работающее оборудование.
Как защищаться?
Бекаптесь и обновляйтесь!
Все данные ниже рекомендации будут работать только при условии регулярного обновления узлов. Иначе все усилия будут похожи на картинку из одной из предыдущих наших статей.
Благодаря средствам сетевой безопасности мы найдём следы работы ПО для добычи в нашей инфраструктуре. Даже если эти инструменты работают в режиме детектирования, мы получим достаточно информации для дальнейшего расследования.
Многие ИТ и ИБ администраторы не любят включать защиту сети в режим блокирования, на это у них есть веские и понятные причины, связанные с доступностью сервисов. Поэтому и рекомендовать блокирование по репутационным спискам сходу не получится. Майнер, как правило, не угрожает вашим данным прямо в момент обнаружения, есть время разобраться.
В качестве ещё одной превентивной меры можно сегментировать сеть, для предотвращения «горизонтального» распространения вредоносного ПО.
У кого много вычислительных мощностей? У облачных провайдеров! Кто заплатит за виртуалочки? Клиент провайдера! Вот захватывающая история почти-попадания на 12 000 долларов на дружественном сайте.
Во избежание проблем:
- Используйте сложные и уникальные пароли.
- Настройте 2-FA.
- Сведите к необходимому минимуму количество админских учёток.
- Если платите по фактическому потреблению ресурсов, постоянно мониторьте активность и настройте оповещения на каждый чих.
Сайты
Скорее всего, вы сами не будете страдать от того, что на вашем сайте будет размещён вредоносный код, заставляющий машины посетителей добывать криптовалюту для злоумышленников. Во всяком случае, какое-то время. Потом есть риск получить это
и пессимизацию в поисковой выдаче и снижение посещаемости.
Для каждой популярной CMS и платформы есть руководства по безопасности. Хорошо бы им следовать, если возможно.
Также стоит проверить, не заражены ли уже ваши сайты. Рекомендовать какой-то конкретный антивирус было бы некорректно, читайте отзывы и советы. Я находил темы и на Тостере, и на Stackoverflow.
Пользовательские АРМ
Как обычно, человеки — самая большая проблема. Если честно, я не знаю способов, как надёжно поймать сисадмина или безопасника, если он захочет (ну вот прям сильно захочет, решительно!) майнить на работе. Все способы напоминают костыли.
- А чего у нас счёт за электричество больше? — Ну так весна, кондиционеры включили.
- А что это за новая коробка в стойке? — Спецоборудование для комплаенса. Не задавайте больше таких глупых вопросов.
- Давайте будем вести логи всех действий администраторов! — А просматривать их будут те же администраторы?
Во-первых, стоит объяснить вред майнинга для компании. В качестве шпаргалки можно использовать раздел про Куб МакКамбера.
Во-вторых, в трудовом договоре нужно прописать запрет использования корпоративных ИТ-ресурсов в личных целях. Будет хоть какой-то аргумент в споре с нерадивым сотрудником.
В-третьих, если всё-таки факт майнинга был подтверждён, следует понять мотивы человека. Мало денег? Не знал, что могут наказать? Было просто интересно попробовать? Это может и не разрешит мирно конкретную ситуацию, но покажет, на что стоит обратить внимание в будущем.
А ещё можно просто решить, что майнинг — вполне себе бизнес и начать добывать крипту в промышленных масштабах. Не можешь бороться — возглавь!
И напоследок держите майндкарту про всё написанное.
Оригинальный размер.
Влияют ли на результаты майнинга пинг и скорость Интернета
Ping влияет напрямую, скорость Интернета влияет опосредовано, потому что от нее зависит пинг — круг замкнут.
В среднем задержка при передаче данных в 100 миллисекунд позволяет успешно майнить многие монеты. Если у вас пинг 10-15 мс, это отличный результат, все, что до 70 мс — также хорошо.
Главное, чтобы интернет-подключение было без перебоев, как и ping — не должно быть скачков. При нестабильной задержке передачи данных элементарно уходит смысл тратить трафик на майнинг — ну сколько вы добудете, если нет нормальной связи с пулом?
Сколько Интернета потребляют майнинг-фермы
Посчитать, сколько трафика потребляет у вас майнинг, просто с помощью несложного эксперимента:
- Выделите сутки, в которые вы будете со своего устройства заниматься в Интернете только майнингом.
- Запускайте оборудование и ждите.
- Через сутки посмотрите, сколько трафика израсходовано на майнинг, можно посчитать и величину в час.
Если у провайдера выяснить эту информацию не получится, посмотрите загрузку канала на роутере.
Практика показывает, что риг из 5 видеокарт тратит в сутки не больше 120 мегабит, значит, ферме для функционирования нужен Интернет со скоростью 0,001 Мбит/с.
На заметку: на майнинг биткоина и другой криптовалюты с помощью асиков понадобится больше трафика, так как это более мощное оборудование — все зависит от производительности графического профессора.
Важно понимать, что универсального значения нет — то, сколько трафика понадобится на вашу майнинг ферму, зависит от ее характеристик, от монеты, которую вы добываете и т.д.
Какой Интернет нужен для майнинга
Интернет и трафик для добычи криптовалюты должны быть стабильными, тип подключения и сигнала практически не важны. Это могут быть и GPRS, и EDGE, и Wi-Fi сети, если пинг обеспечивает успешную добычу интересующей вас криптовалюты.
В идеале иметь стандартное подключение с безлимитным доступом. Ищите вариант с наименьшим пингом (но все зависит от монеты и промежутков времени между ее блоками). Скорости мобильного Интернета также вполне хватит, если он стабильный.
Наихудший вариант для «быстрых» монет — спутниковый, там по понятным причинам самая большая задержка в передаче данных.
Бонус
Коллеги рассказали ещё один абсолютно не технический способ выявления майнеров-сотрудников — «В серверной вдруг стало чисто». Админы достаточно долго «прохладно» относились к порядку в серверной, и вдруг она засияла чистотой. Никаких видимых причин для такой резкой смены настроения не было. А мониторинг нескольких серверов показал ровную почти стопроцентную загрузку.
Проблема использования корпоративных ИТ-ресурсов для майнинга криптовалют проявляется все чаще (недавно их упоминала Транснефть). А на днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту. Сразу отвечу на часто звучащий вопрос: “А причем тут ФСБ?” Все очень просто. Внуково — это не только аэропорт для обычных пассажиров; из Внуково-2 летает Президент России и члены Правительства, что делает эту воздушную гавань критически важным объектом для национальной безопасности. И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом, то за дело берется именно ФСБ. Но вернемся к майнингу. В последнее время мы получили несколько запросов от заказчиков с просьбой объяснить, как можно обнаружить факт использования майнеров в корпоративной или ведомственной сети? Учитывая растущее число таких вопросов, мы и решили написать эту заметку.
Начнем с того, что майнинг — это не типичная угроза информационной безопасности. Программное обеспечение для майнинга криптовалют напрямую не наносит ущерба вашим информационным активам. Кражи или модификации данных нет (обычно). Перехвата управления технологическими или производственными процессами тоже. Нарушения доступности? Вероятно тоже. Но есть тормозящий компьютер, нагрузка на электросеть (а за электричество платит компания), затраты на Интернет-трафик (может быть актуальной проблемой при лимитированном трафике) и садящаяся в ноль батарейка у ноутбука, что можно попробовать транслировать в финансовый ущерб для компании (хотя это и не просто). Самое неприятное, что кто-то за ваш счет может наживаться и получать баснословные барыши (достаточно посмотреть на курс криптовалют, чтобы нервно кусать локти и жалеть, что совесть не позволяет самому майнить на корпоративных ресурсах). Но… бывает и так, что майнинг сопровождает вредоносное программное обеспечение, что делает его уже более серьезной проблемой для специалистов по информационной безопасности. В любом случае, одна из задача ИБ (да и ИТ тоже) — знать, что происходит в ее хозяйстве и иметь инструментарий для контроля любой активности, легальной или не очень. Поэтому вопрос обнаружения и, зачастую, блокирования майнеров, становится все более актуальным.
Если почитать множество заметок в Интернет о том, как обнаружить майнера у себя на компьютере, то обычно все рекомендации сводятся к одной основной — обращать внимание на тормознутость своего ПК, что определяется по ощущениям или с помощью визуального анализа планировщика задач (Task manager в Windows или Activity monitor в MacOS), который отображает загрузку процессора для разных приложений и процессов. Однако эта рекомендация больше подходит для домашних пользователей, чем для корпоративных, не имеющих возможности отслеживать нагрузку процессора сотен и тысяч компьютеров. Поэтому попробуем взглянуть на проблему майнинга немного с иной стороны, а точнее с точки зрения так называемой цепочки kill chain, отображающей набор шагов, которые осуществляет нарушитель (свой пользователь, устанавливающий майнера к себе на ПК, тоже является таковым) в процессе запуска майнингового ПО у себя на узле. Если это свой пользователь, то обычно последовательность будет такой:
- посещение сайтов для майнинга
- скачивание ПО для майнинга
- инсталляция ПО для майнинга
- запуск ПО для майнинга
- майнинг
- взаимодействие с пулами майнеров для обмена информацией о полученных блоках и хешах
- получение вознаграждения.
- поиск жертвы
- подготовка плацдарма (внедрение майнингового скрипта на сайт, создание майнингового ПО, внедрение майнингового ПО в какое-либо свободное или условно бесплатное или пиратское ПО, внедрение майнинговой функциональности в вредоносное ПО)
- “заражение” пользователя майнинговым ПО (через скрипт на сайте, путем скачивания его из Интернет, получением в виде вложения в почту или на флешке)
- запуск майнера
- майнинг
- взаимодействие с пулами майнеров или с командным центром для передачи получаемой в результате вычислений информации.
Менее популярным, но также возможным способом является попадание майнера на компьютер через вложение в e-mail или ссылку в письме, а также через рекламный баннер или фальшивую кнопку на сайте, нажатие на которые приводит к загрузке майнера на компьютер. Хочется опять обратить ваше внимание, что сам по себе майнер не имеет вредоносных функций. Более того, пользователь мог сам, легально его себе установить. Именно по этой причине, в традиционных антивирусах этот тип ПО не блокируется по умолчанию, а всего лишь может обнаруживаться (если у антивируса есть соответствующий набор сигнатур).
Еще одним важным моментом является то, что майнер не работает в одиночку. Он обычно является частью целой ботсети (пула майнеров), с командным центром которой он взаимодействует — получая команды или отправляя результаты своей работы. Поэтому майнер можно обнаружить не только по его активности на узле, но и в процессе сетевого взаимодействия — после отправки хешей или получении новых команд или данных для вычислений.
Как же предлагает бороться с майнинговым ПО компания Сиско? Мы, следуя нашей классической стратегии “ДО — ВО ВРЕМЯ — ПОСЛЕ”, учитывающей жизненный цикл атаки или иной контролируемой активности, предлагаем разбить все мероприятия по контролю и защите на три части:
- ДО — предотвращения взаимодействия с сайтами для майнинга или попадания майнеров в сеть по различным каналам
- ВО ВРЕМЯ — обнаружение инсталляции и работы майнингового ПО
- ПОСЛЕ — проведение ретроспективного анализа поведения файлов, попадающих внутрь корпоративной или ведомственной сети.
- suprnova[.]cc,
- nanopool[.]org,
- zpool[.]ca,
- coinmime[.]pl,
- eth.pp[.]ua,
- zcash.flypool[.]org,
- dwarfpool[.]org,
- p2pool[.]org,
- bitclubnetwork[.]com,
- miningrigrentals[.]com,
- minergate[.]com,
- nicecash[.]com,
- hashing24[.]com,
- hashcoin[.]io,
- hashflare[.]io,
- eobot[.]com,
- antpool[.]com,
- pool.btcchina[.]com,
- bw[.]com,
- mining.bitcoin[.]cz,
- eligius[.]st,
- ghash[.]io,
- bitminter[.]com,
- bitfury[.]org,
- kncminer[.]com,
- 21[.]co,
- slushpool[.]com и т.п.
Блокирование доступа к описанным выше доменам позволить не только предотвратить загрузку ПО для майнинга (этап “ДО”), но и блокировать взаимодействие с пулами в случае, когда соответствующее ПО все-таки как-то попало на компьютер пользователя (через вложение в e-mail, через флешку, с помощью вредоносного ПО или функциональности в условно бесплатном ПО, в которой майнинг является незаметной “нагрузкой” или “ценой” за бесплатность) и пытается взаимодействовать с ними (этап “ВО ВРЕМЯ”).
К сожалению, надо признать, что исключить полное блокирование доступа к пулам для майнинга мы не можем — они появляются постоянно и отслеживать их бывает непросто (не забываем, что это не вредоносные ресурсы, контроль которых является первоочередной задачей для подразделения Cisco Talos). Кроме того, пользователь или вредоносное ПО могут использовать туннелирование (например, SSH) или иные методы коммуникаций (например, Tor) с соответствующими пулами. Поэтому мы должны уметь отслеживать работу майнеров в реальном времени (этап “ВО ВРЕМЯ”). Это можно сделать как с помощью вышеупомянутого отслеживания взаимодействия с соответствующими доменами, так и с помощью слежения за портами, которые использует ПО для майнинга для взаимодействия с пулами и командными центрами. К таким портам можно отнести:
Помимо контроля портов, в решении Cisco Firepower присутствует возможность обнаружения протоколов, используемых майнерами, например, популярными Bitcoin и Litecoin. Достаточно создать правило для контроля взаимодействия по данным протоколам и вы будете всегда знать, кто в вашей сети занимается майнингом (осознанно или даже не зная, что его компютер участвует в пуле для майнинга), независимо от того, с каким узлами и по каким портам идет взаимодействие. Аналогичная функция присутствует и в Cisco ISR с функцией AVC (Application Visibility and Control), позволяющей распознавать и классифицировать больше тысячи приложений, включая и майнинговые.
Система обнаружения вторжений Cisco NGIPS тоже обладает рядом сигнатур для обнаружения работы как легальных майнеров, так и вредоносного кода, задействующего функции майнинга. Например, сигнатуры с номером SID 1-40840, 1-40841, 1-40842, которые позволяет отслеживать использование протокола Stratum для майнинга биткойнов. А сигнатуры с SID 1-31273 или 1-20057 позволяют, к примеру, ловить взаимодействие с командными серверами вредоносного ПО (CoinMiner или Win.Trojan.Vestecoin), занимающегося незаконным майнингом на зараженном компьютере. В конце концов никто не мешает написать самим сигнатуры для поиска ПО для майнинга. Например, она может выглядеть так:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Possible Bitcoin/LiteCoin Mining"; flow:established; content:"|7B 22 70 61 72 61 6D 73 22 3A 20 5B 22|"; Depth:15; classtype:bad-unknown; reference:url,mining.bitcoin.cz/stratum-mining; sid:1000500; rev:1;)
Кстати, упомянутые выше примеры использования туннелирования или иных методов коммуникаций для майнеров сами по себе должны стать триггерами для специалиста по безопасности. “Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.
Для обнаружения майнеров, работающих в виде скрипта, можно применить Cisco Cognitive Threat Analytics, Cisco Umbrella или Cisco Web Security Appliance, которые способны контролировать взаимодействие пользовательского компьютера с внешним миром. Cisco Umbrella это сделает даже если пользователь находится за пределами корпоративной/ведомственной сети и его не контролируют МСЭ, IPS и другие средства защиты периметра. В настройках Umbrella работа с упомянутыми выше доменами реализуется в категории Potentially Harmful Domains.
Кстати, когда я писал эту заметку, то обратил внимание, что есть злоумышленники, которые эксплуатируют интерес пользователей к «легкому» заработку. Например, с помощью Cisco Umbrella Investigate я обнаружил в сети домен, похожий на coin-hive, но являющийся явно вредоносным и попадание на который по ошибке может привести к заражению пользователя:
Отследить работу майнера можно не только на сетевом уровне, но и на уровне узла, защищенного с помощью AMP for Endpoints, хотя это и не так просто. Это ПО, особенно если оно попало на компьютер нелегально и пытается остаться незамеченным, может маскироваться под различным легальные процессы — svchost.exe, chrome.exe или даже steam.exe (для игроманов). Но в том и заключается задача AMP4E, чтобы подсказать, какие процессы являются подозрительными, а какие нет.
Кроме того, в его базе существуют индикатор W32.Cryptocurrencyminer, который позволяет отслеживать широкий спектр майнеров. В тех случаях, когда существуют подозрения относительно файла, возможно участвующего в майнинге, можно проверить его с помощью внешнего сервиса Virus Total, просто направив соответствующий хэш и оперативно получив вердикт о “статусе подозреваемого”. Кроме детектирования аномального поведения, AMP4E может быть настроен на обнаружение нового ПО, ранее не встречавшегося на компьютере пользователя. Это будет облегченный вариант “белого списка приложений” (application white listening, AWL) или “замкнутой программной среды”, механизма, позволяющего контролировать загружаемое и используемое на ПК программное обеспечение. AMP4E можно настроить на обнаружение и известного майнингового ПО, но это не самый эффективный способ, учитывая возможность легкой замены названий файлов.
Последней линией обороны является этап “ПОСЛЕ”, который позволяет нам обнаружить то, что каким-то образом все-таки смогло попасть в нашу сеть и на наши компьютеры и начало свою деятельность. Помимо обнаружения уже работающих майнеров способами, описанными выше, мы можем использовать песочницу Cisco AMP Threat Grid, которая позволяет анализировать все файлы, попадающие внутрь сети (через почту, через Web, через флешки, через файлшары, через FTP и т.д.), и анализируя их поведения по 700 с лишним поведенческих индикаторов детектировать вредоносную или аномальную активность. Помимо специализированных индикаторов cryptominer-detected, cryptominer-network-detected и cryptominer-pool-contacted, в AMP Threat Grid присутствует возможность распознавать майнеры и по другим признакам:
-
взаимодействие с внешними Интернет-ресурсами
Все это классно, конечно, скажете вы. Но можно ли нажать одну магическую кнопку в ваших решениях и забыть об этой проблеме раз и навсегда? Увы. Повторю то, что я уже писал выше. Майнинговое ПО не является вредоносным — оно может быть вполне разрешено в той или иной компании и поэтому оно никогда не вносится по умолчанию в черные списки или базы сигнатур вредоносных программ. Более того, это активно развивающийся рынок, который приводит к тому, что постоянно появляются новые криптовалюты, новые протоколы и новые программы для майнинга, новые порты и новые адреса пулов. Нельзя составить такой список один раз и навсегда. Это постоянная работа по ручному или автоматизированному отслеживанию такой информации, которая затем заносится в индикаторы компрометации и распространяется по средствам защиты. У компании Cisco этой задачей занимается подразделение Cisco Talos, которое мониторит все происходящее в Интернет, классифицирует его и заносит в наши озера данных, на базе которых и создаются/обновляются сигнатуры атак, декодеры протоколы, репутационные базы, правила инспекции и иные индикаторы компрометации, которые на регулярной основе попадают в наши средства защиты, упомянутые в этом материалы — Cisco Firepower, Cisco Umbrella, Cisco Stealthwatch, Cisco Web Security Appliance, Cisco AMP for Endpoints, Cisco Cognitive Threat Analytics, Cisco AMP Threat Grid и другие.
И, конечно, в заключении надо сказать, что никто не отменяет базовых рекомендаций по борьбе с майнерами (легальными и являющимися частью вредоносного или условно бесплатного ПО)- настройте браузер для блокирования скриптов на неизвестных сайтах, установите нужные плагины (например, NoScript для Firefox, minerBlock или No Coin для Chrome), включите блокировщик рекламы (например, AdBlock), контролируйте доступ в серверные и иные помещения, в которых можно незаметно установить устройства для майнинга, которые будут пользоваться вашим электропитанием.
Депутаты Госдумы предложили подключить к борьбе с нелегальным майнингом российских интернет-провайдеров. Они могли бы вычислять IP-адреса, с которых ведется незаконная деятельность, и передавать энергосбытовым компаниям физические адреса, где может быть установлено оборудование для добычи криптовалют. Соответствующее предложение подготовлено в комитете нижней палаты по энергетике и направлено в правительство, сообщают «Известия».
Поставщики электроэнергии, согласно инициативе, должны получить право отключать майнеров от снабжения. Ранее об этом депутатов просила Ассоциация гарантирующих поставщиков и энергосбытовых компаний (ГП и ЭСК).
В организации считают, что юридически можно оформить такую процедуру через изменение договоров о техническом присоединении. В них должна быть прописана цель использования электричества, и если ресурс расходуется на иные задачи, то поставщик получает право разорвать соглашение.
В документе, подготовленном парламентариями, отмечается необходимость доработать действующее законодательство. В том числе ввести определение бытового потребления, не предполагающее извлечение прибыли.
В комментарии изданию представитель En+ отметил, что отключение электричества должно стать крайней мерой, когда все остальные не сработают. В первую очередь речь идет о технической безопасности потребления, чтобы исключить аварию на перегруженной сети. В свою очередь доцент департамента менеджмента и инноваций Финансового университета при правительстве Станислав Шубин подчеркнул, что инициатива депутатов в первую очередь ориентирована на майнеров, которые устанавливают энергоемкое оборудование в жилых помещениях и гаражах.
«Сохранить холодный разум» Российский рубль резко обвалился. Что делать с деньгами — отвечают экономисты
«Чтобы не стать посмешищем на весь мир» Почему российские власти против запрета криптовалют вопреки позиции ЦБ?
Накануне стало известно, что правительство поддержало концепцию регулирования оборота цифровых валют, которую разрабатывал Минфин. Она в отличие от идеи Центробанка не запрещает майнинг и использование российской финансовой инфраструктуры для операций с криптовалютами. Оба ведомства должны до 18 февраля согласовать позиции и подготовить законопроект.
В Минкомсвязи хотят разрешить майнинг гражданам России и компаниям, и, более того, предлагают предоставить им специальные квоты на электроэнергию и тариф. Как пишут СМИ, об этом говорится в концепции регулирования майнинга. Все это нужно для того, чтобы контролировать процесс.
Сетевые кабели для ферм
Лучшее решение — оптоволоконные или коаксиальные (с двумя проводами на одной оси) кабели. Также подойдет витая пара 5Е или категории 6. Разъемы должны быть обязательно заводской обжимки.
Иногда используют и телефонный кабель, но это менее надежное решение.
Преимущества кабельного подключения ферм для майнинга:
- Большая надежность системы.
- Наивысшая стабильность сигнала, что при добыче криптовалют имеет огромное значение.
Что выбрать? Самый надежный — оптоволоконный кабель, но для домашних ферм это избыточный вариант, для майнинга в квартире или частном доме хороши и витая пара, и роутер.
Как высчитать пинг до пула
Алгоритм довольно прост:
- В командной строке гаджета нажмите Win + R.
- В панели CMD задайте команду «ping» и следом без пробела пропишите адрес вашего майнинг пула.
- Через 1-2 минуты нажмите CTRL+C. В окне появятся результаты, цифра рядом с «time=» и будет вашим пингом.
Нормальной считается задержка не более 250 мс, без перепадов.
Что учитывать при выборе сетевого оборудования и его настройке
Подбирая сетевое оборудование, учитывайте всю потенциально возможную нагрузку на него — нужно иметь в виду не только объемы потребленного майнингом трафика, но и то, сколько расходует Интернета каждый из подключенных к роутеру ПК. Не экономьте — роутеры, свитчи, кабели — все должно быть качественным, ведь от этого зависит стабильность работы фермы для майнинга и ваш доход.
Совет: чтобы не увеличивать себе пинг, подключайте ферму по проводам. Если же в вашей ситуации возможен запуск только по Wi-Fi, уходите в диапазон 5 ГГц — на нем меньше помех и он обычно свободнее.
Ждем законопроекта
Как напоминает «Коммерсант», недавно в Государственную думу внесли проект закона, согласно которому статус крипторубля закрепляется в качестве платежного средства на территории всей Российской Федерации. Текст законопроекта гласит, что защищать крипторубль будут через криптографические методы. Также, как пишет издание, данный цифровой финансовый актив планируют использовать «участники распределенного реестра цифровых транзакций».
Тем не менее, сам статус криптовалют в России пока что остается неопределенным. В октябре прошлого года глава РФ Владимир Путин отдал распоряжение правительству и Центробанку заняться подготовкой законопроекта, который будет регулировать цифровые и финансовые активы. В нем также должно быть предусмотрено и определено правовое обращение с криптовалютами. Ожидается, что итоговый вариант законопроекта будет представлен в первом полугодии 2018 года.
Какие Wi-Fi роутеры и адаптеры нужны для майнинга
Роутеры должны обеспечивать стабильное подключение и хороший трафик — отдайте предпочтение моделям с большими антеннами, и чем их больше на корпусе, тем надежнее будет подключение и меньше пинг. Из проверенных брендов – TP-Link, Asus и другие, выбирайте на свой вкус.
В принципе, для майнинга хороша любая модель роутера, способная обеспечить скорость подключения 500 Мб/с и выше. Чем больше разъемов в корпусе, тем больший простор для масштабирования фермы вы оставляете себе в будущем. Также придется кстати возможность резервировать канал связи и отслеживать трафик, расходуемый на майнинг — так вы сможете определить, в каком риге произошел сбой, если или когда это сбой произойдет.
Для промышленных ферм роутер — плохой вариант, так как риги будут давать взаимные помехи. Предпочтительнее использовать маршрутизаторы и свитчи с отдельным сервер-шлюзом. Если собираете ферму «в полях», вам понадобится не роутер, а маршрутизатор или коммутатор.
Важно! Позаботьтесь о наличии аккумуляторов для подключения по спутниковому Интернету и альтернативе в виде бесперебойного питания — на случай отключения сигнала.
А надо ли вообще их ловить
Майнинг — странная угроза ИБ. На первый взгляд даже непонятно, почему он — угроза. Майнерские клиенты не трогают ваши данные, и майнерам-злоумышленникам они тоже, как правило, не очень нужны.
Для анализа ущерба, который наносят майнеры, я предлагаю воспользоваться моделью «Куб МакКамбера». C осени 2017 года Джон МакКамбер отвечает за пропаганду ИБ по Северной Америке в (ISC)² (проводят сертификацию на CISSP, SSCP, CCSP, CSSLP и другие непонятные аббревиатуры). До этого Джон работал в ВВС США и Gartner.
МакКамбер предложил модель, отражающую три основных направления обеспечения ИБ.
Цели безопасности (Desired goals)
- Конфиденциальность
- Целостность
- Доступность
- Передача
- Хранение
- Обработка
- Человеческий фактор
- Политики и практики
- Технологии
Автоматический перезапуск фермы при отключении от Интернета: нужен ли WatchDog
Программное обеспечение, позволяющее мониторить состояние ферм для майнинга — полезный инструмент и незаменимая перестраховка на случай отключения питания, выхода из строя каких-то элементов фермы и любых других форс-мажоров.
ПО типа сторожевого таймера WatchDog позволяет удаленно возобновить работу фермы для майнинга, в том числе и в случае перебоев с интернет-сигналом. Кроме того, такие помощники способны отслеживать состояние ригов и их составляющих, в том числе контролировать, сколько трафика потребляет и достаточно ли получает электричества майнинг-ферма и все ли в порядке.
В криптомире, в котором своевременность напрямую влияет на успех, системы сторожевых таймеров незаменимы.
Отслеживайте не только потребляемый вашей фермой интернет-трафик, но и стабильность сигнала и пинга. Успехов!
С начала 2017 года наш Центр мониторинга информационной безопасности видит попытки майнить криптовалюты на корпоративных ИТ-ресурсах, подключённых на мониторинг. Ну видит и видит, чего вам, битка жалко, что ли?
Действительно, а какой вред наносят майнеры в корпоративной сети? Какие угрозы для бизнеса это несёт? Давайте попробуем разобраться и понять, как искать майнеров и бороться с ними (если, конечно, решим это делать).
Marco Krohn, Creative Commons Attribution-Share Alike 4.0 International
Читайте также:
- В каком файле хранится конфигурация для компиляции
- Настройка электронной книги kobo
- Ахрямкина тамара александровна психологические причины увлеченности детей и подростков компьютером
- Со скольки лет детям можно играть в компьютерные игры
- Сколько времени можно работать за компьютером непрерывно ученикам 7 9 классов