Техника на mitre.org

T1496: Несанкционированное использование ресурсов

Злоумышленники могут использовать ресурсы захваченных систем для выполнения ресурсоемких задач, что может негативно сказываться на доступности системы и (или) работающих в ней служб.

Техника несанкционированного использования ресурсов часто применяется для валидации криптовалютных транзакций и заработка виртуальной валюты (майнинга). Потребление системных ресурсов злоумышленниками может снизить производительность затронутого оборудования и (или) привести к его зависанию. Чаще всего злоумышленники атакуют серверы и облачные системы из-за большого объема доступных ресурсов, однако они могут скомпрометировать и пользовательские рабочие системы и использовать их ресурсы, в том числе для майнинга криптовалют. Контейнерные среды также могут стать мишенями злоумышленников, поскольку вредоносные нагрузки легко развертываются через доступные API, а операции майнинга могут масштабироваться посредством развертывания или компрометации множества контейнеров в одной среде или кластере.

Некоторые вредоносные программы для майнинга криптовалют способны также идентифицировать и завершать процессы, запущенные аналогичным вредоносным ПО, чтобы исключить конкуренцию за ресурсы.

Злоумышленники также могут использовать вредоносное ПО, которое задействует пропускную способность сети жертвы в ботнет-атаках типа сетевой отказ в обслуживании и (или) для раздачи зараженных торрентов. Кроме того, злоумышленники могут применять проксиджекинг, то есть продавать сетевую пропускную способность и IP-адреса своих жертв прокси-сервисам.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Наиболее частым случаем несанкционированного использования ресурсов является запуск криптомайнеров. — Если у аналитика есть возможность подгружать репутационные листы, он может выполнять мониторинг событий сетевых подключений, в которых в качестве узла назначения выступают имена доменов (серверов), связанных с криптомайнингом. — Мониторинг событий запуска процессов, в командной строке которых есть фрагменты, связанные с запуском криптомайнера. Примеры таких фрагментов (при условии что в командной строке не содержатся фрагменты «pool.c», «pool.o», «gcc –»): « --cpu-priority=\», «--donate-level=0», « -o pool.», « --nicehash», « --algo=rx/0», «stratum+tcp://», «stratum+udp://», «LS1kb25hdGUtbGV2ZWw9», «0tZG9uYXRlLWxldmVsP», «tLWRvbmF0ZS1sZXZlbD», «c3RyYXR1bSt0Y3A6Ly», «N0cmF0dW0rdGNwOi8v», «zdHJhdHVtK3RjcDovL», «c3RyYXR1bSt1ZHA6Ly», «N0cmF0dW0rdWRwOi8v», «zdHJhdHVtK3VkcDovL»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут быть связаны с майнингом криптовалют или прокси-сервисами.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Анализируйте содержимое сетевого трафика объединенных систем, чтобы отслеживать выполнение ресурсоемких задач, которые могут негативно повлиять на доступность системы и (или) размещенных служб. Примечание. Destination Host Name — это не полный список потенциальных URL-адресов криптовалютных ресурсов. В этой аналитике используется напрямую заданное доменное имя, которое может измениться.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами, подключения к необычным портам или с необычных портов, а также репутацию криптовалютных узлов, связанных с используемыми IP- и URL-адресами.

ID	DS0013	Источник и компонент данных	Данные о работоспособности: Состояние узла	Описание	По возможности отслеживайте потребление ресурсов процессами, чтобы выявить аномальную активность, связанную с перехватом ресурсов ЦП, памяти и графического процессора.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте на локальных системах файлы, обычно связанные с майнингом криптовалют или прокси-сервисами, которые могут свидетельствовать о компрометации системы и повышенном потреблении ресурсов.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы с типичными именами, связанными с майнингом криптовалют или прокси-сервисами, которые могут свидетельствовать о компрометации системы и повышенном потреблении ресурсов.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут быть связаны с майнингом криптовалют или прокси-сервисами.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Анализируйте содержимое сетевого трафика объединенных систем, чтобы отслеживать выполнение ресурсоемких задач, которые могут негативно повлиять на доступность системы и (или) размещенных служб. Примечание. Destination Host Name — это не полный список потенциальных URL-адресов криптовалютных ресурсов. В этой аналитике используется напрямую заданное доменное имя, которое может измениться.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами, подключения к необычным портам или с необычных портов, а также репутацию криптовалютных узлов, связанных с используемыми IP- и URL-адресами.
DS0013	Данные о работоспособности: Состояние узла	По возможности отслеживайте потребление ресурсов процессами, чтобы выявить аномальную активность, связанную с перехватом ресурсов ЦП, памяти и графического процессора.
DS0022	Файл: Создание файла	Отслеживайте на локальных системах файлы, обычно связанные с майнингом криптовалют или прокси-сервисами, которые могут свидетельствовать о компрометации системы и повышенном потреблении ресурсов.
DS0009	Процесс: Создание процесса	Отслеживайте процессы с типичными именами, связанными с майнингом криптовалют или прокси-сервисами, которые могут свидетельствовать о компрометации системы и повышенном потреблении ресурсов.