インターネットを閲覧するのに時間を費やしたことがあれば、少なくとも1回は暗号通貨の概念に出会ったことがあるでしょう。 これは世界のデジタル経済の確立におけるわくわくするような一歩であり、大きな機会とリスクをもたらします。
ビットコイン、モネロ、リップル、柴犬などの暗号通貨の人気が高まるにつれて、これらの通貨を積極的に取引したいと考える人々の数が劇的に増加しました。 これが取引プラットフォームの参入障壁の低下と相まって、多くの人々が暗号通貨に手を出すことを有益な提案として考えています。 特にサイバー犯罪者にとって。
サイバー犯罪者は、ユーザーに暗号通貨を攻撃者の暗号通貨ウォレットに送金させるために詐欺攻撃を使用することがあり、またはマルウェアやドライブバイ攻撃などの他の手法を使用して、被害者の処理リソースを暗号採掘目的で使用することがあります。 サイバー犯罪者の目には、安全でない機械は放置されたナイトクラブの財布とまったく同じです。
幸いなことに、もしあなたがCatoの顧客であれば、私たちは自動的に緩和策を用意しており、安全を保つのに役立ちます。
暗号通貨攻撃にはさまざまなベクトルがあります。例えば、他人の財布を盗むように暗号コインを盗むことが挙げられます。 しかし、ローカルハードウェアを使用して暗号コインを採掘することも可能です。 これは、サイバー犯罪者がアカウント内のホストやサーバーを侵害し、それらを利用して暗号コインを採掘する可能性があることを意味します。 これにより、これらのリソースのパフォーマンスに大きな影響を与え、サイバー犯罪者の利益を増加させます。
Catoクラウドは、暗号攻撃からアカウントを保護するためにさまざまなアプローチを使用しており、オプションの検討を始めましょう。
暗号マイナーがシステムリソースを利用してコインを生成しようとするたびに、ソフトウェアはプールに接触するか、あるいはブロックチェーンに対して作業を検証する必要があります。 完了の証明が提出されると、コイン(またはその一部)が関連するウォレットに発行されます。 これにより、マシンはほぼ常にCPU使用率およびGPUをほぼ100%で実行中し、ユーザーのデジタルエクスペリエンスに影響を及ぼし、ビジネスの運用コストを増加させます。
CatoのIPSサービスは、継続的に更新される高度な脅威分析を使用して、このタイプのトラフィックの伝送とコミュニケーションを自動的に緩和およびブロックします。 Catoのセキュリティチームは、Stratumのような採掘プロトコルや、XMRigやXMR-Stakのような既知のマイナーを検出するための専用のIPS署名を作成します。 さらに、既知の暗号通貨マルウェアに対する専用のIPS署名とヒューリスティックも用意されており、ビジネスオペレーションに与える可能性のある影響を緩和するのに役立ちます。
Catoは、IPSエンジンを継続的に維持、監視、進化させているため、Catoクラウドが常に最新の保護を持っていることを知り、安心することができます。
Cato IPSサービスの一環として、我々は暗号通貨の専用の脅威インテリジェンスフィードを使用し、知られている暗号通貨攻撃やマルウェアに関連するマイニングプールや悪意のあるドメインを検出するのに役立ちます。 さらに、我々は独自の脅威インテリジェンスフィードを作成し、暗号通貨活動を検出しブロックします(プロトコルの種類に関係なく)。
Catoはまた、我々のグローバルバックボーンを利用し、すべての顧客ネットワークにおけるマイニング活動のために数兆のネットワークフローを監視しています。 もし我々がある顧客に対して潜在的な脅威を観察しブロックした場合、同じ保護がすべての顧客に適用されます。
ネットワーク上のIPSエンジンデータベースを更新し、すべてのファイアウォールにパッチを当て、サーバーのすべてのディレクトリを精査した世界を想像してください。 それでもなお、ユーザーはネットワークが「遅い」と報告しており、チケットがヘルプデスクのキューに積み重なっています。 どうしますか? 当然のことながら、パケットキャプチャから始め、アプリケーションスループットのメトリックを見ます。 次に、ネットワーク上でトレースルートを実行し、すべてが素晴らしく見えます。 徐々にそれが明らかになり、パニックが始まります。 それはネットワークの問題ではなく、ホストの問題です。
エンドポイントデバイスは企業への最も広範な攻撃面であり、特にWebAssemblyのような技術を利用すれば、デバイスにマルウェアを感染させるのは非常に簡単です。 これは、攻撃者が被害者の処理リソースを利用して暗号通貨採掘を行うためによく使用されます。 しかし、「伝統的な」マルウェアとは異なり、ファイルをダウンロードせずに攻撃を実行することが可能です。
ユーザーがブラウザを開き、ウェブサイトへの正当なセッションを確立することを想像してみてください。 彼らは通常通りにブラウズしていますが、彼らの機械は遅くなっています(そしてノートパソコンのファンは100%で回転しています)。 何が起こったのですか? このユーザーは暗号通貨採掘コードを読み込むウェブサイトにアクセスした可能性があります。 おっと、ネットワークが今、露出され、感染の可能性があります。
Catoは、マルウェア対策エンジンでWebAssemblyファイル(およびその他すべてのファイルタイプ)をスキャンすることでこのような脅威を処理し、悪意のあるファイルが実際にエンドポイントデバイスに到達する前に検出します。 我々の脅威インテリジェンスフィードとヒューリスティック分析を組み合わせることで、これらのタイプの攻撃をブロックすることができます。
Catoのグローバルバックボーンは、潜在的に悪意のあるコードの南北および東西の配布のカバレッジを提供します。 これにより、すべてのユーザー、サイト、拠点、およびクラウドのプレゼンスが同等に保護され、パッチやアップグレードを配布する必要がありません。
CatoのManaged Threat Detection and Response (MDR)サービスは、ネットワーク全体のセキュリティインシデントと脆弱性を監視します。 MDRは、仮想通貨攻撃を検出するためにすべての上記の技術を使用します(およびネットワーク上で発生する可能性のあるその他のセキュリティインシデント)。 問題が検出された場合、保護され、ネットワークリソースへの影響について通知されます。
ここでは、MDRが仮想通貨問題を追跡するのに役立ついくつかのシナリオ例を示します:
-
不明なクライアントを持つ仮想通貨ドメインへの定期的な通信が識別されました
-
仮想通貨マイニング活動に関連する定期的なJSON-RPCトラフィックが観察されました
-
人気度の低いドメインからの疑わしいWebAssemblyのダウンロード試行。
ネットワークに仮想通貨イベントが特定された場合、ホーム > イベントで簡単にイベントを確認でき、以下が含まれます:
-
イベントの時間
-
脅威名の記述子
-
シグネチャーID
-
脅威の種類
-
アクション
-
送信元/宛先IP
-
ソース サイト名
-
トラフィックの方向
この情報を使用して、仮想通貨インシデントが誰が何をどこでいつ起こしたのかを簡単に特定できます。 これにより、企業環境内でどのマシンが仮想通貨アクションを実行しようとしているかを特定する明確な視線が得られます。
インシデントについての詳細情報を表示するためにイベントを展開します。 以下は仮想通貨マイニングイベントの例です:
0件のコメント
サインインしてコメントを残してください。