인터넷을 조금이라도 탐색한 적이 있다면, 적어도 한 번은 암호화폐의 개념을 접했을 가능성이 높습니다. 이는 세계 디지털 경제의 구축에 있어 흥미로운 단계이며, 중요한 기회와 위험을 모두 가져옵니다.
비트코인, 모네로, 리플, 시바 등과 같은 암호화폐의 인기도 상승으로 인해 이러한 화폐를 거래하려는 사람들의 수가 급격히 증가했습니다. 이것이 거래 플랫폼의 진입 장벽이 낮아지는 것과 결합되면, 많은 사람들이 암호화폐에 손을 대는 것을 수익성 좋은 제안으로 봅니다. 특히 사이버 범죄자들.
사이버 범죄자들은 종종 사기 공격을 사용하여 사용자가 공격자의 암호화폐 지갑으로 암호화폐를 보내도록 속이거나, 악성 소프트웨어 또는 드라이브 바이 공격과 같은 다른 기법을 사용하여 피해자의 처리 자원을 암호화폐 채굴 목적으로 사용할 수 있습니다. 사이버 범죄자의 눈에는, 보안이 취약한 기계는 나이트클럽에서 방치된 지갑과 같습니다.
다행히도, 당신이 카토의 고객이라면, 우리는 자동으로 당신의 보안을 유지하기 위한 완화 전략을 마련하고 있습니다.
암호화폐 공격의 벡터에는 여러 가지가 있으며, 예를 들어 암호화폐를 도난하는 것은 누군가의 실제 지갑을 훔치는 것과 같습니다. 그러나 로컬 하드웨어를 사용하여 암호화폐를 채굴하는 것도 가능합니다. 이것은 사이버 범죄자들이 계정의 호스트와 서버를 손상시키고, 이를 암호화폐 채굴을 위해 사용할 수 있다는 것을 의미합니다. 이것은 이러한 자원들의 성능에 심각한 영향을 미치며, 사이버 범죄자들에게 수익을 증가시킵니다.
카토 클라우드는 암호화폐 공격으로부터 계정을 보호하기 위해 여러 가지 접근 방식을 사용하며, 이 옵션들을 탐색하기 시작합시다.
암호화폐 채굴자가 시스템 자원을 사용하여 코인을 생성하려 할 때마다, 소프트웨어는 풀에 접속해야 하거나, 작업 노력을 블록체인에 대해 검증해야 합니다. 완료 증명이 제출되면, 코인 (혹은 더 가능성이 높은 조각)이 관련된 지갑에 발급됩니다. 이로 인해 기계는 거의 지속적으로 CPU 사용량과 GPU를 100%로 사용하게 되며, 사용자의 사용자 경험에 영향을 미치고 기업의 운영 비용을 증가시킵니다.
카토 IPS 서비스는 지속적으로 업데이트되는 고급 위협 분석을 사용하여 이러한 유형의 트래픽 전송 및 통신을 자동으로 완화하고 차단합니다. 카토 보안 팀은 Stratum과 같은 채굴 프로토콜 및 XMRig, XMR-Stak과 같은 알려진 채굴자를 감지하기 위한 전용 IPS 서명을 생성합니다. 게다가, 알려진 암호화폐 악성 소프트웨어에 대한 전용 IPS 서명 및 휴리스틱도 마련하여 기업 운영에 미칠 수 있는 잠재적 영향을 완화합니다.
카토는 지속적으로 IPS 엔진을 유지, 모니터링, 발전시켜 카토 클라우드가 최신 보호 기능을 항상 갖추고 있음을 보장합니다.
카토 IPS 서비스의 일환으로, 우리는 암호화폐를 위한 전용 위협 인텔리전스 피드를 사용하여, 알려진 암호화폐 공격 및 악성 소프트웨어와 관련된 채굴 풀 및 악성 도메인을 탐지합니다. 추가적으로, 우리는 자체 위협 인텔리전스 피드를 생성하여 암호화폐 활동을 탐지 및 차단합니다 (프로토콜 유형에 상관없이).
카토는 우리 글로벌 백본을 활용하여, 모든 고객 네트워크에서의 채굴 활동을 모니터링하는 수조의 네트워크 흐름을 감시합니다. 만약 우리가 고객 중 한 명을 위한 잠재적 위협을 관찰하고 차단한다면, 동일한 보호가 모든 고객에게 적용됩니다.
IPS 엔진 데이터베이스를 네트워크에서 업데이트하고, 모든 방화벽에 패치를 적용하고, 서버의 모든 디렉토리를 검사한 세상을 상상해보십시오. 그럼에도 불구하고 - 사용자는 여전히 네트워크가 '느리다'고 보고하고, 도움 데스크 대기열에는 티켓이 쌓입니다. 당신은 무엇을 하나요? 당연히, 패킷 캡처로 시작하고, 애플리케이션 처리량 메트릭을 살펴봅니다. 그런 다음 네트워크에서 트레이스라우트를 실행하면, 모든 것이 완벽해 보입니다. 천천히 깨달으며, 당황하게 됩니다. 네트워크 문제가 아니라 호스트 문제입니다.
귀하의 엔드포인트 장치는 기업에 대한 가장 넓은 공격 표면이며, 특히 WebAssembly와 같은 기술을 활용하면 악성 소프트웨어로 기기를 감염시키는 것이 상당히 간단합니다. 이는 종종 공격자들이 피해자의 처리 자원을 사용하여 암호화폐 채굴을 수행하는 데 사용됩니다. 그러나 '전통적인' 악성 소프트웨어와 달리 파일을 다운로드하지 않고도 공격을 실행할 수 있습니다.
사용자가 브라우저를 열고 웹사이트에 합법적인 세션을 설정한다고 상상해 보십시오. 그들은 평소처럼 브라우징하지만, 기기가 느려지고 있습니까 (그리고 노트북 팬이 100%로 회전 중입니다). 무슨 일이 일어났습니까? 이 사용자가 암호화폐 채굴 코드를 로드하는 웹사이트에 접속했을 수 있습니다. 유감스럽게도 귀하의 네트워크가 이제 노출되어 잠재적으로 감염되었습니다.
Cato는 안티멀웨어 엔진으로 WebAssembly 파일(및 모든 다른 파일 유형)을 스캔하여 이러한 위협을 처리하고, 악성 파일이 실제로 엔드포인트 장치에 도달하기 전에 탐지합니다. 우리의 위협 인텔리전스 피드와 휴리스틱 분석의 결합을 사용하여 이러한 유형의 공격을 차단할 수 있습니다.
Cato의 글로벌 백본은 잠재적인 악성 코드의 북/남 및 동/서 분포에 대한 커버리지를 제공합니다. 모든 사용자, 사이트, 지사 및 클라우드 장소가 동등하게 보호되며, 이를 위해 패치나 업그레이드를 배포할 필요가 없습니다.
Cato의 관리형 위협 탐지 및 대응(MDR) 서비스는 네트워크 전반에 걸쳐 보안 사고와 취약성을 모니터링합니다. MDR은 위의 모든 기술을 사용하여 암호화폐 공격(및 네트워크에 발생할 수 있는 모든 보안 사고)을 탐지합니다 문제가 감지되면 귀하는 보호를 받으며, 네트워크 내 자원에 대한 영향을 통보받게 됩니다.
MDR이 암호화폐 문제를 추적하는 데 도움이 되는 몇 가지 예시 시나리오입니다:
-
알 수 없는 클라이언트와의 암호화폐 도메인에 대한 주기적인 통신 식별됨
-
암호화폐 채굴 활동과 관련된 주기적인 JSON-RPC 트래픽이 관찰됨
-
낮은 인기도 도메인에서의 의심스러운 WebAssembly 다운로드 시도.
네트워크에서 암호화폐 이벤트가 식별되는 경우, 홈페이지 > 이벤트에서 쉽게 이벤트를 검토할 수 있습니다.여기에는 다음이 포함됩니다:
-
이벤트 시간
-
위협 이름의 디스크립터
-
시그니처 ID
-
위협 유형
-
작업
-
소스/목적지 IP
-
출처 사이트 이름
-
트래픽 방향
이 정보를 사용하여 귀하는 쉽게 암호화폐 사건이 발생한 사람, 무엇, 어디 및 언제인지를 파악할 수 있습니다. 이를 통해 귀하의 기업 환경 내에서 어떤 기기가 암호화 작업을 수행하려 하고 있는지 식별할 수 있는 명확한 시야를 제공합니다.
이벤트를 확장하여 사고에 대한 정보를 더 많이 표시하십시오. 아래는 암호화폐 채굴 이벤트의 예입니다:
댓글 0개
댓글을 남기려면 로그인하세요.