Il coin miner è un tipo di attacco che si ritorce spesso contro l'attaccante, illudendolo di poter finalmente aver trovato un metodo per pagare le tasse. Tutto quello che accade alla fine, invece, è ritrovarsi gli schiavi con la CPU brasata. Una mitigazione, può essere quella di istruire il tool ad impiegare meno risorse, ma in questo caso le entrare diminuiranno, conducendo l'attaccante all'auto-pwn.
Sintomi di infezione da coin miner:
- Il device impiega 66 minuti per avviarsi;
- Aprire il browser può costare un BSOD;
- Ricevere una chiamata Skype risulta in un BSOD;
- Ridurre a icona una tendina costa altri 2 BSOD.
Metodo di exploitation
- Lateral movement con un malware ausiliare (es. una shell), o comunque un programma che spaccia il miner per qualcos'altro
- Il miner inizia ad inviare dei task complessi alla CPU, che dovrà risolvere in serie. Più il task è complicato, più saranno richieste risorse. Dato che i miner non sono molto rispettosi dei limiti della CPU (specialmente quelli illegittimi), le capacità richieste saliranno a un 90% approssimativo del totale (osservabile dal Task Manager sulla sezione "Prestazioni"), riducendo le risorse da allocare per il funzionamento del device a una percentuale davvero limitata (al massimo si può aprire Notepad senza creare casini). Un ulteriore spiegazione sul funzionamento dei miner, è reperibile qui: https://github.com/revoxhere/duino-coin/blob/master/PC_Miner.py Nella repository è illustrato il codice di un miner scritto in Python
Il coin miner ha tuttavia 2 impieghi: il Primo, è chepuò essere utilizzato in modo totalmente legittimo, e i miner addetti a questo scopo sono riconoscibili dal fatto di possedere una GUI e una pool autorizzata. Questo tipo di miner non comporta alcuna sanzione, sono spesso impiegati nei paesi dove il costo dell'energia elettrica è basso, come ad esempio in Cina. In questi paesi, dove il costo dell'energia è basso, vengono creati dei veri propri impianti miner (detti farm), composti da vari PC da gaming, device dotati di alte performance-hardware, in grado di minare rapidamente ed efficientemente.
Il Secondo impiego, è quello illegittimo, e si verifica nella seguente situazione:
un miner comandato interamente a riga di comando (hidden CMD) viene inviato sul device target, attraverso un exploit o un attacco di phishing. Da qui, l'attaccante, istruirà il device infetto a minare per il suo crypto-wallet. Spesso, questa "pacchia" dura poco, in quanto la presenza di un miner diventa facilmente riconoscibile.
Il vero problema insorge quando questo programma ha bypassato l'EDR. In quel caso, la risoluzione al problema può essere solamente quella di scollegare il PC infetto dal router (i miner non possono lavorare offline), per rimuoverlo manualmente dal device. Le folder d'infezione più comuni sono %TEMP%, Startup, o System32. La soluzione migliore è scongiurare l'attacco, piuttosto che risolverlo. Evitare di scaricare crack/hack, o altri programmi strani dal web, e mantenersi aggiornati attraverso Microsoft Update risultano comunque le strategie di prevenzione più adeguate.
Il funzionamento del miner, può essere riassunto nella seguente immagine:
Sintomi di infezione da coin miner:
- Il device impiega 66 minuti per avviarsi;
- Aprire il browser può costare un BSOD;
- Ricevere una chiamata Skype risulta in un BSOD;
- Ridurre a icona una tendina costa altri 2 BSOD.
Metodo di exploitation
- Lateral movement con un malware ausiliare (es. una shell), o comunque un programma che spaccia il miner per qualcos'altro
- Il miner inizia ad inviare dei task complessi alla CPU, che dovrà risolvere in serie. Più il task è complicato, più saranno richieste risorse. Dato che i miner non sono molto rispettosi dei limiti della CPU (specialmente quelli illegittimi), le capacità richieste saliranno a un 90% approssimativo del totale (osservabile dal Task Manager sulla sezione "Prestazioni"), riducendo le risorse da allocare per il funzionamento del device a una percentuale davvero limitata (al massimo si può aprire Notepad senza creare casini). Un ulteriore spiegazione sul funzionamento dei miner, è reperibile qui: https://github.com/revoxhere/duino-coin/blob/master/PC_Miner.py Nella repository è illustrato il codice di un miner scritto in Python
Il coin miner ha tuttavia 2 impieghi: il Primo, è chepuò essere utilizzato in modo totalmente legittimo, e i miner addetti a questo scopo sono riconoscibili dal fatto di possedere una GUI e una pool autorizzata. Questo tipo di miner non comporta alcuna sanzione, sono spesso impiegati nei paesi dove il costo dell'energia elettrica è basso, come ad esempio in Cina. In questi paesi, dove il costo dell'energia è basso, vengono creati dei veri propri impianti miner (detti farm), composti da vari PC da gaming, device dotati di alte performance-hardware, in grado di minare rapidamente ed efficientemente.
Il Secondo impiego, è quello illegittimo, e si verifica nella seguente situazione:
un miner comandato interamente a riga di comando (hidden CMD) viene inviato sul device target, attraverso un exploit o un attacco di phishing. Da qui, l'attaccante, istruirà il device infetto a minare per il suo crypto-wallet. Spesso, questa "pacchia" dura poco, in quanto la presenza di un miner diventa facilmente riconoscibile.
Il vero problema insorge quando questo programma ha bypassato l'EDR. In quel caso, la risoluzione al problema può essere solamente quella di scollegare il PC infetto dal router (i miner non possono lavorare offline), per rimuoverlo manualmente dal device. Le folder d'infezione più comuni sono %TEMP%, Startup, o System32. La soluzione migliore è scongiurare l'attacco, piuttosto che risolverlo. Evitare di scaricare crack/hack, o altri programmi strani dal web, e mantenersi aggiornati attraverso Microsoft Update risultano comunque le strategie di prevenzione più adeguate.
Il funzionamento del miner, può essere riassunto nella seguente immagine: