СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
UDV Group
Вчера в 19:33
#Интервью #ИБ

Эксперты UDV Group рассказали, почему скрытый майнинг опаснее лишней нагрузки и как NDR/NTA помогает находить его по поведению трафика.

Эксперты UDV Group рассказали, почему скрытый майнинг опаснее лишней нагрузки и как NDRNTA помогает находить его по поведению трафика.

Скрытый майнинг часто воспринимают как не самый опасный инцидент: кажется, что злоумышленники «всего лишь» используют вычислительные мощности компании. Но на практике такая активность может быть признаком более глубокой компрометации. Если майнер уже работает внутри инфраструктуры, значит, атакующий смог попасть на узел, закрепиться, настроить связь с внешними ресурсами и остаться незамеченным.

Проблема в том, что на конечном хосте вредоносный майнер может хорошо маскироваться. Он старается не привлекать внимание антивирусов, скрывать процессы, подстраиваться под нагрузку и не выглядеть как очевидная угроза. Но в сети его поведение часто остается более заметным: майнеру нужно получать задания, обращаться к пулам, отправлять результаты и поддерживать устойчивую коммуникацию.

О том, почему сетевой анализ помогает находить скрытый майнинг в крупных инфраструктурах, какие признаки выдают такую активность и зачем NDR/NTA-решения связывать с SIEM, рассказал Михаил Пырьев, менеджер продукта UDV NTA в компании UDV Group.

— Михаил, скрытый майнинг часто воспринимают как что-то неприятное, но не критичное: ну потребляет ресурсы, ну повышает нагрузку. Почему в UDV Group считают, что относиться к этому спокойно нельзя?

Здесь важно смотреть шире, чем просто на потребление CPU, GPU или электроэнергии.

Если в инфраструктуре работает скрытый майнер, это уже означает, что на конечном узле присутствует нежелательная программа. Она смогла попасть в систему, закрепиться, использовать вычислительные ресурсы и выстроить взаимодействие с внешней инфраструктурой.

Кроме того, кража вычислительных ресурсов нередко бывает только первым этапом. По тем же каналам в дальнейшем может осуществляться и компрометация данных. Поэтому скрытый майнинг — это не просто вопрос нагрузки, а индикатор того, что в инфраструктуре уже есть вредоносная активность.

— То есть сам майнер может быть не финальной целью, а первым звоночком: если он смог жить в сети, значит, туда можно было провести и что-то более опасное?

Да, именно так. На практике майнинг часто остается незамеченным месяцами. Причины разные: нехватка данных для принятия решений, опора только на IoC или сигнатуры, недооценка самой угрозы.

Создатели вредоносных майнеров в большинстве случаев сосредоточены на сокрытии присутствия на конечном хосте, а не в сети. Поэтому сетевой анализ часто оказывается более надежным и масштабируемым способом выявления таких угроз, особенно в крупных инфраструктурах.

— Это важный момент: на хосте майнер прячется, а в сети все равно оставляет след. Что именно он выдает? Какие сетевые признаки в UDV Group считают наиболее показательными?

С точки зрения сети скрытый майнинг обычно проявляется через устойчивый набор признаков.

В первую очередь это длительные сессии с майнинг-пулами конкретных криптовалют — чаще всего Monero или Bitcoin. Также характерна структура трафика: небольшие объемы данных, стабильная частота отправки пакетов и высокая повторяемость.

Дополнительно должны настораживать нетипичные значения TTL, рост RTT, обращения к доменам, сгенерированным DGA-алгоритмами, а также взаимодействие с инфраструктурой, которая не характерна для бизнес-процессов организации.

— То есть речь не об одном признаке, который сразу говорит: «это майнер», а скорее о поведенческом портрете?

Да. Один отдельный признак может быть недостаточен. Но когда складывается несколько факторов — длительные соединения, повторяемость, малые объемы данных, подозрительные домены, нетипичные сетевые параметры, — картина становится гораздо более убедительной.

В UDV Group мы как раз смотрим не только на отдельные события, но и на устойчивые закономерности поведения. Это особенно важно в больших инфраструктурах, где вручную отследить подобные вещи практически невозможно.

— Многие компании пытаются искать майнеры по нагрузке: вырос CPU, активнее работает GPU, изменилось энергопотребление. На первый взгляд логично. Почему этого недостаточно?

Выявление майнинга по аномалиям загрузки CPU, GPU или энергопотребления возможно, но на практике имеет ограничения.

Во-первых, агентные средства установлены не всегда. В крупной инфраструктуре часть узлов может быть не охвачена мониторингом. Во-вторых, повышенная нагрузка сама по себе не всегда указывает на вредоносную активность. Она может быть связана с рабочими процессами, изменением конфигурации, обновлениями или легитимными задачами.

Сетевой анализ в этом смысле дает преимущество: под наблюдением оказываются сразу тысячи устройств, а признаки вредоносной активности можно зафиксировать еще до того, как появляется заметное потребление ресурсов.

— Получается, сеть иногда честнее хоста: агент может отсутствовать, процесс может маскироваться, а коммуникация с внешней инфраструктурой все равно видна?

Да, это хорошая формулировка.

Если майнеру нужно получать задания и отправлять результаты, он должен взаимодействовать с внешними ресурсами. Даже если содержимое трафика зашифровано, остаются метаданные: длительность соединений, частота обращений, объемы данных, направления, повторяемость, временные характеристики.

Поэтому NDR/NTA-подходы особенно полезны в больших средах. Они позволяют смотреть не на один отдельный хост, а на поведение инфраструктуры в целом. В UDV Group мы считаем это одним из ключевых преимуществ сетевого анализа.

— Давайте разделим типы майнинга. Браузерный и хостовой майнинг выглядят для сети одинаково или все-таки по-разному?

Они различаются.

Браузерные варианты, например Coinhive-подобные скрипты, используют HTTPS и WebSocket-соединения с backend-пулами. Внешне они могут напоминать обычную пользовательскую активность, особенно если смотреть на трафик поверхностно.

Хостовые майнеры чаще маскируются под легитимные сервисы или облачную инфраструктуру, чтобы обойти межсетевые экраны и не выделяться на уровне сетевых политик.

Но ключевое отличие остается: поведение программы детерминировано и повторяемо. Пользовательский трафик значительно менее предсказуем.

— Вот это, кажется, важнейшая мысль: человек ведет себя хаотично, а вредоносная программа — по расписанию. Именно повторяемость становится главным маркером?

Да, повторяемость — один из сильных признаков.

Пользователь меняет сценарии: открывает разные сайты, работает с разными сервисами, делает паузы, переключается между задачами. Майнер действует гораздо стабильнее: поддерживает соединение, регулярно обменивается небольшими объемами данных, повторяет один и тот же паттерн.

В UDV Group мы видим, что анализ такой детерминированности помогает отделять подозрительное поведение от обычной активности и снижать число ложных срабатываний.

— А если злоумышленники используют HTTPS, облачные сервисы, легитимно выглядящие домены — насколько вообще остается возможность увидеть угрозу?

Шифрование действительно усложняет анализ, но не делает его невозможным.

Даже если мы не видим содержимое полезной нагрузки, мы можем анализировать метаданные: продолжительность сессий, частоту соединений, объемы передаваемых данных, направления взаимодействия, сетевые аномалии, характер повторяемости.

Также имеют значение доменные признаки, репутация внешней инфраструктуры, несоответствие активности нормальному профилю узла. То есть NTA не обязательно должен «прочитать» все внутри пакета. Часто достаточно понять, как именно ведет себя узел в сети.

— То есть задача UDV NTA здесь не просто найти известный индикатор, а увидеть подозрительную модель поведения?

Да, именно.

NDR/NTA-решения, которые анализируют копию сетевого трафика, позволяют выявлять как отдельные признаки, так и устойчивые поведенческие закономерности. Дополнительно важен ретроспективный анализ: можно вернуться к истории трафика и понять, когда появилась подозрительная активность, как она развивалась и какие узлы были вовлечены.

В UDV Group мы считаем, что это особенно ценно при расследовании: нужно не только обнаружить майнер, но и понять масштаб проблемы.

— Но для ИБ-команды одного сетевого срабатывания часто мало. Нужно доказать, что это действительно инцидент, а не просто странный трафик. Как лучше подтверждать такие случаи?

Наибольшую практическую ценность дает связка NDR/NTA с SIEM.

Сетевой детект показывает внешнее поведение узла: с кем он взаимодействовал, как часто, в каком объеме, по каким признакам эта активность похожа на майнинг. SIEM позволяет сопоставить это с событиями хостового мониторинга, журналами безопасности, телеметрией рабочих станций, учетными записями и другими источниками.

В результате формируется не просто отдельный алерт, а обоснованный инцидент ИБ, подтвержденный и внешним поведением узла, и его внутренним состоянием.

— То есть хороший результат — это не «еще один алерт в консоли», а понятная картина для расследования: где источник, почему он подозрителен и что делать дальше?

Да. Поток необработанных алертов сам по себе не решает задачу.

Специалисту важно понимать, какой узел вызывает подозрение, какие признаки сработали, с какой инфраструктурой он взаимодействовал, как долго длилась активность, есть ли сопутствующие события на хосте и какие еще системы могут быть затронуты.

Именно поэтому в UDV Group мы рассматриваем сетевое обнаружение не как отдельный технический сигнал, а как часть процесса расследования и подтверждения инцидента.

— Если вернуться к практике: почему майнеры все-таки так часто живут в инфраструктуре месяцами? Ведь трафик идет, ресурсы потребляются, признаки есть. Где обычно ломается обнаружение?

Чаще всего проблема в отсутствии целостной картины.

Если компания опирается только на IoC или сигнатуры, она может пропустить модифицированный или замаскированный майнер. Если смотрит только на нагрузку, может не заметить активность на узлах без агентов или принять ее за легитимную. Если нет корреляции с SIEM и другими источниками, сетевые признаки могут остаться разрозненными сигналами.

Поэтому майнинг и остается незамеченным: его не всегда воспринимают как приоритетную угрозу, а данных для уверенного решения часто недостаточно.

Схема UDV Group: скрытый майнинг в сети
Схема UDV Group: скрытый майнинг в сети

— Тогда финальный практический вопрос. Если компания хочет начать искать скрытый майнинг системно, а не случайно, с чего ей стоит начать?

Я бы выделил три шага.

Первый — обеспечить видимость сетевого трафика в ключевых сегментах инфраструктуры. Без этого компания просто не увидит устойчивые коммуникации с подозрительной внешней инфраструктурой.

Второй — анализировать не только известные индикаторы, но и поведенческие закономерности: длительные сессии, повторяемость, малые объемы данных, нестандартные направления соединений, нетипичные TTL и RTT.

Третий — связать сетевые детекты с SIEM и хостовой телеметрией. Тогда команда получает не просто подозрение, а подтвержденный инцидент, с которым можно работать.

В UDV Group мы видим, что такой подход позволяет обнаруживать скрытый майнинг раньше, точнее определять затронутые узлы и не сводить проблему только к лишней нагрузке. Потому что майнер в сети — это сигнал: в инфраструктуре уже есть нежелательная активность, и ее нужно расследовать до того, как она перерастет в более серьезный инцидент.

UDV Group
Автор: UDV Group
UDV Group — российский разработчик в области кибербезопасности промышленных и корпоративных сетей.
Комментарии: