MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1496: Несанкционированное использование ресурсов

Злоумышленники могут использовать ресурсы захваченных систем для выполнения ресурсоемких задач, что может негативно сказываться на доступности системы и (или) работающих в ней служб.

Техника несанкционированного использования ресурсов часто применяется для валидации криптовалютных транзакций и заработка виртуальной валюты (майнинга). Потребление системных ресурсов злоумышленниками может снизить производительность затронутого оборудования и (или) привести к его зависанию. Чаще всего злоумышленники атакуют серверы и облачные системы из-за большого объема доступных ресурсов, однако они могут скомпрометировать и пользовательские рабочие системы и использовать их ресурсы, в том числе для майнинга криптовалют. Контейнерные среды также могут стать мишенями злоумышленников, поскольку вредоносные нагрузки легко развертываются через доступные API, а операции майнинга могут масштабироваться посредством развертывания или компрометации множества контейнеров в одной среде или кластере.

Некоторые вредоносные программы для майнинга криптовалют способны также идентифицировать и завершать процессы, запущенные аналогичным вредоносным ПО, чтобы исключить конкуренцию за ресурсы.

Злоумышленники также могут использовать вредоносное ПО, которое задействует пропускную способность сети жертвы в ботнет-атаках типа сетевой отказ в обслуживании и (или) для раздачи зараженных торрентов. Кроме того, злоумышленники могут применять проксиджекинг, то есть продавать сетевую пропускную способность и IP-адреса своих жертв прокси-сервисам.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

bind: PT-CR-2188: BIND_Monero_Crypto_Coin_Mining_Domain_Detection: Запрос параметров DNS к пулам для майнинга Monero
bind: PT-CR-2190: BIND_New_Kind_Of_Network_Detection: Запрос параметров DNS для ресурса, который может выступать в качестве канала C2-сервера. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить атаки
dnsmasq: PT-CR-2230: Dnsmasq_Monero_Crypto_Coin_Mining_Domain_Detection: Подозрительные DNS-запросы к пулам для майнинга Monero
dnsmasq: PT-CR-2233: Dnsmasq_New_Kind_of_Network_Detection: DNS-запросы к сетевому сервису New Kind of Network, который может быть использован в качестве канала C2

Способы обнаружения

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

По возможности отслеживайте потребление ресурсов процессами, чтобы выявить аномальную активность, связанную с перехватом ресурсов ЦП, памяти и графического процессора.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами, отслеживайте подключения к необычным портам или из необычных портов, а также репутацию IP- и URL-адресов, связанных с криптовалютными узлами.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Анализируйте содержимое сетевого трафика объединенных систем, чтобы отслеживать выполнение ресурсоемких задач, которые могут негативно повлиять на доступность системы и (или) размещенных служб.

Примечание. @@"Имена целевых узлов" — это не полный список потенциальных URL-адресов криптовалютных ресурсов. В этом анализе используется напрямую заданное доменное имя, которое может измениться.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы с типичными именами, связанными с майнингом криптовалют или прокси-сервисами, которые могут свидетельствовать о компрометации системы и повышенном потреблении ресурсов.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут быть связаны с майнингом криптовалют или прокси-сервисами.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте на локальных системах файлы, обычно связанные с майнингом криптовалют или прокси-сервисами, которые могут свидетельствовать о компрометации системы и повышенном потреблении ресурсов.