Qu’est-ce que le Crypto-Malware et comment se défendre contre le Cryptojacking ?

ÉCRIT PAR

Oleksandra Rumiantseva

[post-views]

septembre 12, 2022 · 10 min de lecture

Qu’est-ce que le Crypto-Malware et comment se défendre contre le Cryptojacking ?

Table des matières :

La popularité des crypto-monnaies n’attire pas seulement les investisseurs mais en fait également un véritable piège à miel pour les pirates. Bien que les crypto-monnaies aient connu des temps meilleurs sur le marché, le cryptojacking est en hausse. Avec une variété de termes émergents, il est facile de s’y perdre. Alors, plongeons dans les spécificités du crypto-malware, crypto-ransomware, et du cryptojacking.

Définition du crypto-malware se résume à un type spécifique de logiciel malveillant destiné à effectuer du minage illégal (cryptojacking). D’autres noms pour le crypto-malware sont cryptojackers ou logiciels de minage malveillants. Si ces concepts vous sont nouveaux, n’hésitez pas à consulter le glossaire des termes associés :

Glossaire :

Cryptomonnaie est une monnaie numérique alimentée par la technologie blockchain.

Cryptominage (alias minage de cryptomonnaie) est un processus de création de nouvelles pièces et de validation de nouvelles transactions. Il est réalisé en résolvant des équations complexes à l’aide de machines très puissantes.

Crypjacking est un minage criminel de crypto, défini comme un accès et une utilisation non autorisés des ressources de minage de crypto.

Le crypto-malware a été pour la première fois découvert lorsqu’un membre de la communauté de Harvard a commencé à miner des dogecoins en utilisant le ‘Odyssey cluster’ en 2014. Depuis lors, les cryptojackers ont parcouru un long chemin pour devenir l’une des préoccupations les plus importantes en matière de cybersécurité. Vous pourriez considérer le cryptojacking comme un autre mot à la mode, mais les statistiques montrent une augmentation de 86% des incidents de minage illégal de crypto – 15,02 millions par mois en 2022 contre 8,09 millions par mois en 2021.

Comment Fonctionne le Malware de Cryptojacking ?

Bien que crypto-malware forme un groupe distinct de logiciels malveillants, il agit encore de la même manière que la plupart des autres types de logiciels malveillants. Le vecteur d’infection principal est la distribution de logiciels malveillants via des botnets, des applications mobiles, des pages web, des réseaux sociaux ou du phishing. Lorsque la machine de la victime ouvre un fichier malveillant, les codes sont exécutés via Macros ou JavaScript pour installer le crypto-malware.

Comment le Crypto Malware Diffère-t-il des Autres Types de Malware ?

La principale distinction est qu’au lieu de corrompre directement les données, le crypto-malware utilise les GPU et d’autres ressources de la machine de la victime pour le minage tout en fonctionnant discrètement en arrière-plan.

le Crypto Malware vs. Crypto Ransomware

Tout d’abord, rappelez-vous que ces termes ne sont pas liés, même s’ils ont une partie ‘crypto’ en commun. Le crypto-malware est lié au cryptojacking (minage illégal de crypto-monnaies), tandis que crypto-ransomware n’a rien à voir avec les crypto-monnaies. Le crypto-ransomware est l’un des types de ransomware. Les variétés de ransomware les plus populaires sont :

Locker Ransomware bloque les fonctions de base de l’appareil de la victime, comme une souris ou un clavier partiellement désactivés et un accès refusé à un bureau.
Crypto Ransomware est celui qui crypte les fichiers vous laissant sans accès à ceux-ci. Ce type de ransomware est le plus courant car il est généralement associé à plus de dégâts.

Ce qui unit toutes les variantes de ransomware est la rançon que les adversaires exigent pour restaurer l’accès aux fichiers ou aux appareils. Donc, comme vous le voyez, crypto-malwarea pour mission principale d’utiliser les ressources de l’ordinateur de la victime aussi longtemps que possible sans être remarqué. En revanche, le ransomware (y compris le crypto-ransomware) a un but différent – de l’argent versé en rançon.

Comment Détecter le Crypto-Malware

Même si le volume des attaques de crypto-malware augmente, vous pouvez toujours assurer une détection en temps opportun si vous suivez ces recommandations :

Connaissez Votre Infrastructure

Visez à trouver les vulnérabilités de vos systèmes avant que les adversaires ne le fassent. En outre, vous devez également comprendre quelle performance est normale pour votre infrastructure. De cette façon, si vous commencez à recevoir des tickets d’assistance sur une performance lente ou une surchauffe, vous saurez qu’il s’agit de signaux d’alarme à investiguer.

Surveillez Votre Réseau

Pour être conscient de ce qui se passe dans votre infrastructure, vous devez constamment collecter des journaux de qualité et les analyser correctement. Un bon point de départ serait d’en apprendre davantage sur les sources de données et l’analyse des données. Ici vous pouvez trouver des explications détaillées avec des exemples du monde réel.

Assurez-vous d’avoir votre Couverture en Place

Collecter des journaux est important mais ce qui est encore plus important est quels journaux vous collectez. Vous ne pouvez pas couvrir tous les vecteurs d’attaque possibles, mais si vous savez comment fonctionne la chaîne d’élimination, vous aurez une meilleure compréhension de ce qu’il faut rechercher. Commencez par comprendre le cadre MITRE ATT&CK® pour améliorer votre analyse, détection et réponse aux menaces.

Exploitez la Chasse aux Menaces

Bien que la chasse aux menaces puisse sembler écrasante au début, c’est l’un des moyens les plus efficaces pour rechercher des traces de menaces furtives, telles que crypto-malware elle-même. Une approche proactive en termes de détection des menaces est ce qui peut vous faire économiser de l’argent, du temps et de la réputation. Si vous ne savez pas par où commencer, consultez notre guide sur les bases de la chasse aux menaces.

Optez pour des Détections Basées sur le Comportement

Bien que les détections basées sur les indicateurs de compromission (IOC) puissent être utiles dans certains cas, elles sont généralement considérées comme inefficaces pour détecter des malwares inconnus. En même temps, les détections basées sur le comportement se sont révélées beaucoup plus pratiques car elles recherchent des modèles qui peuvent être réutilisés dans différentes attaques. Vous pouvez considérablement améliorer vos opérations SOC en mettant en œuvre une défense proactive contre les cybermenaces avec des détections enrichies de contexte.

EXPLORER LE CONTEXTE DES MENACES

Si vous souhaitez en savoir plus sur crypto-malware et sa détection, consultez les études suivantes :

Caprolu, M., Raponi, S., Oligeri, G. et Di Pietro, R. (2021). La cryptomining fait du bruit : Détection du cryptojacking via l’apprentissage automatique. Computer Communications. Disponible sur : https://doi.org/10.1016/j.comcom.2021.02.016

Zheng, R., Wang, Q., He, J., Fu, J., Suri, G. et Jiang, Z. (2022). Détection de Malwares de Minage de Crypto-monnaie Basée sur des Modèles de Comportement et des Réseaux de Neurones Graphiques. Security and Communication Networks, 2022. Disponible sur : https://doi.org/10.1155/2022/9453797

Bursztein, E., Petrov, I. et Invernizzi, L. (2020). CoinPolice : Détection des Attaques de Cryptojacking Cachées avec des Réseaux Neuraux. Recherche Google. Disponible sur : https://research.google/pubs/pub49278/

cybersecurity.att.com. (n.d.). Dernières Techniques des Mineurs de Crypto. Disponible sur : https://cybersecurity.att.com/blogs/labs-research/crypto-miners-latest-techniques

Hernandez-Suarez, A., Sanchez-Perez, G., Toscano-Medina, L.K., Olivares-Mercado, J., Portillo-Portilo, J., Avalos, J.-G. et García Villalba, L.J. (2022). Détection des Menaces Web de Cryptojacking : Une Approche avec Autoencodeurs et Réseaux Neuraux Denses. Applied Sciences, 12(7). Disponible sur : https://doi.org/10.3390/app12073234

Eskandari, S., Leoutsarakos, A., Mursch, T. et Clark, J. (2018). Un Premier Regard sur le Cryptojacking Basé sur le Navigateur. 2018 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW). Disponible sur : http://dx.doi.org/10.1109/EuroSPW.2018.00014

Quel est l’Impact des le Crypto Malware attaques ?

Selon chaque cas, l’impact d’une attaque de cryptojacking peut être différent. Néanmoins, les conséquences les plus typiques pour les appareils et réseaux affectés sont :

Ralentissement des performances du réseau et du système en raison de l’utilisation des ressources CPU et de la bande passante par l’activité illégale de minage de crypto
Consommation électrique élevée, dommage physique éventuel ou plantage du système à cause de la surchauffe matérielle
Perturbations inhabituelles des opérations de routine
Pertes financières liées à la consommation électrique accrue et aux temps d’arrêt causés par l’une des détériorations précédemment mentionnées. De plus, il peut y avoir un coût de récupération de fichiers et de systèmes
Risques de réputation et de conformité en raison d’un accès non autorisé au réseau

Quels sont les Exemples de Crypto-Malware les Plus Sévères?

Ces dernières années, il y a eu de nombreuses attaques de cryptojacking, offrant d’innombrables opportunités d’analyser des cas pertinents et de se préparer à prévenir les futures attaques. Plongeons plus profondément dans certains des cas les plus notables.

Botnet Prometei

Prometei est un botnet multi-étape découvert en 2020, ciblant à la fois les systèmes Windows et Linux. Prometei utilise diverses techniques et outils pour se répandre sur le réseau en atteignant l’objectif ultime de minage de monnaies Monero. crypto-malware botnet discovered in 2020, targeting both Windows and Linux systems. Prometei uses various techniques and tools to spread across the network achieving the ultimate goal of mining Monero coins.

L’infection commence lorsque le fichier principal du botnet est copié depuis un système infecté via le protocole Server Message Block (SMB), avec l’utilisation de mots de passe récupérés par un module Mimikatz modifié et des exploits bien connus tels que BlueKeep and EternalBlue.

Les chercheurs ont suivi l’activité du botnet Prometei pendant plus de deux mois et ont constaté que le malware possède plus de 15 modules exécutables organisés en deux branches opérationnelles principales pouvant fonctionner de manière plutôt indépendante. Vous pouvez voir ci-dessous la représentation graphique de l’organisation des modules. Pour un aperçu technique plus détaillé, consultez cette analyse.

Quant aux techniques du cadre MITRE ATT&CK, les adversaires ont activement utilisé les suivantes :

T1562.001 (Atténuation des défenses : Désactiver ou modifier des outils)
T1105 (Transfert d’outil entrant)
T1027 (Fichiers ou informations obscurcis)
T1059.001 (Interpréteur de commandes et de scripts : PowerShell)
T1569.002 (Services système : exécution de service)
T1036 (Déguisement)
T0884 (Proxy de connexion)

PowerGhost

Le mineur PowerGhost est un logiciel malveillant sans fichier qui utilise plusieurs techniques pour rester non détecté par les solutions antivirus. Ce logiciel malveillant doit son nom au comportement silencieux d’intégration et de propagation sur le réseau. Sans créer de nouveaux fichiers sur le système et les écrire sur le disque dur, le script Powershell s’exécute à l’abri des regards, infectant les systèmes avec une combinaison de PowerShell et d’EternalBlue.

Pour accéder à distance à des comptes, PowerGhost utilise mimikatzEternalBlue, ou des outils logiciels légitimes, tels que l’instrumentation de gestion Windows (WMI). Essentiellement, le malware PowerGhost est un script PowerShell obscurci avec la structure suivante :

Code principal
Modules complémentaires :
- Mineur effectif
- mimikatz
- Bibliothèques requises pour l’exploitation du mineur, telles que msvcp120.dll and msvcr120.dll
- Module pour l’injection réfléchissante de Portable Executable (PE)
- Code shell pour l’exploit EternalBlue

The cycle de vie du mineur PowerGhost peut être divisé en quatre étapes :

Conclusion

Le crypto-malware a certainement des particularités, mais ne vous surprendra pas si vous avez une stratégie de cybersécurité efficace. Vous pouvez toujours renforcer les efforts de votre équipe SOC en vous inscrivant sur la plateforme SOC Prime Detection as Code. Cela vous donnera accès à la plus grande collection mondiale de détections basées sur Sigma intégrées de manière transparente à plus de 26+ SIEM, EDR et XDR.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement Réserver une réunion

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

Qu’est-ce que le Crypto-Malware et comment se défendre contre le Cryptojacking ?

Comment Fonctionne le Malware de Cryptojacking ?

Comment le Crypto Malware Diffère-t-il des Autres Types de Malware ?

le Crypto Malware vs. Crypto Ransomware

Comment Détecter le Crypto-Malware

Connaissez Votre Infrastructure

Surveillez Votre Réseau

Assurez-vous d’avoir votre Couverture en Place

Exploitez la Chasse aux Menaces

Optez pour des Détections Basées sur le Comportement

Quel est l’Impact des le Crypto Malware attaques ?

Quels sont les Exemples de Crypto-Malware les Plus Sévères?

Botnet Prometei

PowerGhost

Conclusion

Table des Matières

Cet article vous a-t-il été utile ?

Articles connexes

Renforcez votre défense cybernétique avecMarketplace de détection des menaces

Qu’est-ce que le Crypto-Malware et comment se défendre contre le Cryptojacking ?

Comment Fonctionne le Malware de Cryptojacking ?

Comment le Crypto Malware Diffère-t-il des Autres Types de Malware ?

le Crypto Malware vs. Crypto Ransomware

Comment Détecter le Crypto-Malware

Connaissez Votre Infrastructure

Surveillez Votre Réseau

Assurez-vous d’avoir votre Couverture en Place

Exploitez la Chasse aux Menaces

Optez pour des Détections Basées sur le Comportement

Quel est l’Impact des le Crypto Malware attaques ?

Quels sont les Exemples de Crypto-Malware les Plus Sévères?

Botnet Prometei

PowerGhost

Conclusion

#ez_toc_widget_sticky-2 .ez-toc-widget-sticky-container ul.ez-toc-widget-sticky-list li.active{ background-color: #ededed; } Table des Matières

Cet article vous a-t-il été utile ?

Articles connexes

Renforcez votre défense cybernétique avecMarketplace de détection des menaces

Table des Matières