СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Газинформсервис
29.05.2025
#Статьи #Dev#ИБ#ИИ#Инфра#Облака

Противодействие несанкционированному майнингу: как защититься от криптомайнеров

Противодействие несанкционированному майнингу: как защититься от криптомайнеров

Несанкционированный майнинг прошёл путь от браузерных CPU-скриптов 2014 года до скрытых кластеров, добывающих Monero на чужих GPU. Поворотным моментом стал 2017-й: CoinHive внёс в арсенал WebAssembly и Stratum-прокси, превращая каждую вкладку в добытчика; к 2024-му злоумышленники уже эксплуатировали CVE-2023-22527 и автоматически разворачивали XMRig внутри Kubernetes.

Средства защиты развивались следом в феврале 2024 года Bitdefender GravityZone добавил режим Cryptomining Protection, который отслеживает всплески CPU, GPU и нетипичные вызовы Stratum; апрельская версия 6.61 научилась изолировать заражённый контейнер. Kaspersky зафиксировал 135-процентный всплеск интереса к крипто-драйнерам на дарк-вебе и встроил расширенный набор индикаторов скрытого майнинга. Intel, в союзе с ESET и Microsoft, перенёс детекцию на уровень кремния: TDT анализирует телеметрию ядра и отсекает майнер раньше начала хеширования. TDT также анализирует счётчики ядра и замечает искусственный рост нагрузки, который не видят прикладные датчики.

Что касается домашних условий, достаточно использовать многофакторную аутентификацию для входа в веб-панель роутера, отключать UPnP, чтобы не открывался порт 4444, и проверять счёт за электричество: неожиданный рост почти всегда означает чужой майнер. Актуальные патчи ОС и прошивки роутера лишают злоумышленника большинства эксплойтов, uBlock Origin или AdGuard с фильтром NoCoin режут JavaScript-майнеры, а resolver 1.1.1.2 от Cloudflare блокирует домены пулов ещё на уровне DNS. Всплеск оборотов кулеров без видимой нагрузки — верный сигнал открыть диспетчер задач и остановить xmrig.exe или powershell.exe с длинной Base64-строкой.

  • В инфраструктуре, основанной на Kubernetes, задайте resourceQuota и limitRange, чтобы даже успешно внедрённый контейнер не смог забрать все ядра;
  • В Windows-сетях GPO «Maximum Processor State = 80 %» лишает майнера экономического смысла;
  • В корпоративной среде необходимо использовать слой EDR на рабочих станциях, а на сетевом периметре — NGFW. Практика показывает, что объединённая телеметрия сети, хоста и контейнера сокращает время обнаружения с недель до часов.

В заключение хотелось бы отметить, что генеративные модели в корне меняют правила игры. Одновременно появление доступных NPU-чипов в ноутбуках даёт злоумышленникам новое поле: незаметный запуск модели LoRA поверх Tensor-ядер способен одновременно тренировать вредоносный ИИ и добывать криптовалюту, пока стандартные датчики CPU ничего не видят. Написать уникальный, недетектируемый майнер и проверить его на публичных песочницах теперь можно за минуты; тот же ИИ подбирает оптимальный набор инструкций под конкретное ядро, повышая прибыль. Впрочем, в ответ защитники внедряют собственных LLM-агентов, прогнозирующих майнинг по слабым поведенческим сигналам ещё до первого хэша.

Автор: Михаил Спицын, киберэксперт лаборатории стратегического развития компании «Газинформсервис»/

Газинформсервис
Автор: Газинформсервис
«Газинформсервис» — отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны.
Комментарии: