Aşağıdaki makale size yardımcı olacaktır: Cryptojacking nedir? Önleme ve Tespit İpuçları
Cryptojacking’in mekanizmasını ve nasıl önlenebileceğini anlamak için aşağıdaki konulara bir göz atalım.
Wix’ın blockchain teknolojisi hakkındaki bu eğitimine bir göz atın.
Cryptojacking’in arkasındaki motivasyon oldukça basittir; paradır. Kripto para madenciliği çok kazançlı olabilse de, özellikle büyük maliyetleri karşılamanın bir yolu yoksa, kâr elde etmek neredeyse imkansızdır. Sınırlı kaynakları ve daha az ahlakı olan herkes için cryptojacking, değerli madeni paraları çıkarmanın etkili ve ucuz bir yoludur.
Cryptojacking nedir?
Cryptojacking, kripto para madenciliği yapmak için insanların cihazlarının yetkisiz kullanımını içerir. Diğer tehditlerin ve siber suçların aksine, kurbanın bilgisinden gizli kalacak şekilde tasarlanmıştır. Cryptojacking, kendisini bir cihazın içine yerleştirir ve kaynaklarını kripto para madenciliği yapmak için kullanır. Cryptojacking sürecini daha iyi anlamak için önce kripto para biriminin nasıl çalıştığını kısaca tekrar gözden geçirelim.
Kripto para birimi, jeton veya “madeni para” biçiminde olan dijital veya sanal paradır. 3.000 (yaklaşık) kripto para birimi biçiminden popüler olanı Bitcoin Blockchain’dir. Çoğu sanal kalsa da, bazı kripto para birimleri kredi kartları veya diğer projeler aracılığıyla fiziksel dünyaya girmiştir.
Kripto para birimleri, blok zinciri olarak da bilinen dağıtılmış bir veritabanı kullanır. Bu blok zinciri, gerçekleşen tüm işlemler hakkında bilgilerle düzenli olarak güncellenir.
Her son işlem seti, karmaşık bir matematiksel işlem yardımıyla bir ‘blok’ halinde birleştirilir. Blok verilerle dolduğunda önceki bloğa zincirlenir, yani veriler kronolojik olarak birbirine bağlanır veya “zincirlenir”.
Yeni bloklar oluşturmak için, kripto para birimleri bilgi işlem gücü için bireylere bağlıdır. Bilgi işlem gücü sağlayanlar, kripto para birimi ile ödüllendirilir. Para birimi karşılığında bilgi işlem kaynakları ticareti yapan kişiler, madenciler olarak bilinir.
Daha büyük kripto para birimleri söz konusu olduğunda, gerekli matematiksel hesaplamaları yapmak için özel bilgisayar donanımları çalıştıran madenci ekipleri vardır. Bu, önemli miktarda elektrik gücü gerektirir; örneğin, bitcoin ağı her yıl 73TWh’den fazla enerji tüketir.
Cryptojacking Türleri
Cryptojacker’ların kötü niyetli bir şekilde kripto para madenciliği yapmasının birden fazla yolu vardır: kripto madenciliği komut dosyalarının yürütülmesi için kötü amaçlı yazılım indirmek, bulut hizmetlerine erişmek ve BT altyapısını ele geçirmek.
Dosya tabanlı Cryptojacking
Dosya tabanlı cryptojacking, yürütülebilir bir dosyayı çalıştırmak için indirilen kötü amaçlı yazılımları içerir. Bu dosya, bir kripto madenciliği komut dosyasını BT altyapısına yayar. Bunu başarmanın en yaygın yollarından biri, kötü amaçlı e-postalardır.
Geçerli görünen bir ek veya bağlantı içeren bir e-posta gönderilir. Herhangi bir kullanıcı bu eke veya bağlantıya tıkladığında, bir kod çalışır ve kripto madenciliği komut dosyasını bilgisayara yükler. Komut dosyası, kullanıcının bilgisi olmadan arka planda çalışır.
Tarayıcı tabanlı Cryptojacking
Cryptojacking ayrıca doğrudan bir web tarayıcısında gerçekleşir. Bu tür saldırılarda, kripto para madenciliği yapmak için BT altyapısı kullanılır.
Bilgisayar korsanları, bir kripto madenciliği komut dosyası oluşturmak için bir programlama dili kullanır ve ardından bunu birden çok web sitesine yerleştirir. Bu kötü amaçlı komut dosyaları, reklamlara ve savunmasız ve güncel olmayan WordPress eklentilerine yerleştirilebilir. Komut dosyası otomatik olarak çalışabilir ve kodu kullanıcının bilgisayarına indirir.
Cryptojacking ayrıca bir tedarik zinciri saldırısı kripto madenciliği kodunun JavaScript kitaplıklarını tehlikeye attığı yer.
Bulut Şifreleme
Bulut kripto hırsızlığında, bilgisayar korsanları bulut hizmetlerine erişmek için bir kuruluşun API anahtarlarını dosya ve kodlarda arar. Ardından, kripto madenciliği için sınırsız CPU kaynaklarını çekerler ve bu da hesap maliyetlerinde büyük bir artışa neden olur. Bu, cryptojacking’in yasa dışı para birimi madenciliği yapma çabalarını önemli ölçüde hızlandırır.
Cryptojacking nasıl çalışır?
Cryptojacking sürecine dahil olan mekanizmalar ve adımlar şunlardır:
1. Kripto madenciliği betiğini gömmek için bir varlığı tehlikeye atmak: Cryptojackers, bir kripto madenciliği kodu yerleştirerek bir varlığı tehlikeye atar.
2. Kripto madenciliği betiğinin yürütülmesi: Cryptojacker’lar gömüldükten sonra kurbanların betiği yürütmesini bekler. Kullanıcılar bir eki veya bağlantıyı tıklarsa veya virüslü reklamların bulunduğu bir web sitesine göz atarsa, kripto madenciliği komut dosyası yürütülür ve çalıştırılır.
3. Kripto madenciliği başlar: Kripto madenciliği betiği, kullanıcının bilgisi olmadan yürütüldükten sonra arka planda çalışır.
4. Algoritmaları çözme: Kripto madenciliği betiği, bir bloğu kazmak için karmaşık algoritmaları çözmek için bilgisayar gücünü kullanır. Bu bloklar, kripto para birimi bilgilerini depolayan bir blok zincirine eklenir.
5. Bir kripto para ödülü almak: Zincire her yeni blok eklendiğinde, bilgisayar korsanları çok fazla çalışmaya veya riske gerek duymadan ödül olarak kripto para birimi paraları alırlar. Cryptojacker’lar ödülleri, anonim olarak doğrudan dijital cüzdanlarına eklemeleri kolay olan kripto para biriminde kazanır.
Cryptojacking Tarihi
Cryptojacking ilk olarak Eylül 2017’de Bitcoin’in yükselişi sırasında dikkatleri üzerine çekti. Coinhive, web sitesinde, web sitesi sahiplerinin web sitesi reklamlarına alternatif olarak pasif olarak para kazanması için bir madencilik aracı olması amaçlanan bir kod yayınladı. Ancak, siber suçlular tarafından kendi kripto madenciliği komut dosyalarını yerleştirmek için kötüye kullanıldı. Web sitesi ziyaretçilerinin bilgi işlem kaynakları, Monero (kripto para birimi) madenciliği yapmak için kullanıldı.
Cryptojacking’in Yükselişi ve Etkileri
Cryptojacking yavaş yavaş ciddi bir küresel sorun haline geliyor. Siber suçlular, minimum risk ve çabayla para kazanmak için bilgisayar sistemlerine erişmeye çalışıyor. Bilgisayar korsanları, bilgisayar kaynaklarını çalmak ve kripto para madenciliği yapmak için her gün yeni taktikler ve yollar buluyor.
Son zamanlarda, bilgisayar korsanları kripto hırsızlığı yapan kötü amaçlı yazılımı YouTube’a yerleştirmenin bir yolunu buldu. Bu, kullanıcıları kripto madenciliği betiklerine tıklamaları ve etkinleştirmeleri için kandırmayı kolaylaştırır.
Küçük işlem gücüne sahip bir telefon nasıl iyi olabilir diye düşünüyor olabilirsiniz. Ancak çok sayıda akıllı telefon söz konusu olduğunda, her şey kripto hırsızlarının dikkatini çekmeye değer hale geliyor. Aslında, bazı siber güvenlik uzmanları, diğer bazı kötü amaçlı yazılım türlerinin aksine, cryptojacking komut dosyalarının bilgisayarlara veya kurbanların verilerine zarar vermediğine dikkat çekti. Ancak, kurbanın bilgisayarının veya cihazının performansını etkileyen sonuçları vardır.
Aksine, bir arabadan kripto hırsızlığının bireysel bir kurbanı yerine daha büyük kuruluşlar söz konusuysa, BT işçilik maliyetleri, elektrik maliyetleri, kaçırılan fırsatlar ve daha fazlasına dönüşen gerçek maliyetler vardır.
Çalıştırmak için kullanılan yazılımın konuşlandırılması daha kolay ve tespit edilmesi daha zor olduğu için Cryptojacking daha popüler hale geliyor. Herhangi bir önemli teknik beceri bile gerektirmez. Günümüzde, hazır yazılım programları karanlık ağda kolayca elde edilebilir. Kripto madenciliği kodu, virüs bulaşmış bir bilgisayarın arka planında uzun süre fark edilmeden çalışmaya başlar.
Cryptojacking’in izini tespit edilirse bilgisayar korsanına kadar sürmek çok zordur ve o zamana kadar bilgisayar korsanları dijital ganimetlerini harcayarak sistemlerine verdiği zarar yoluyla işletmeyi finansal olarak etkilerdi.
Gerçek Dünyadan Cryptojacking Örnekleri
Kripto hırsızları, kripto madenciliği için diğer insanların bilgisayarlarına erişim sağlamaya yönelik planlar tasarlamaya geldiğinde gerçekten zeki olabilirler. Yöntemlerin çoğu genellikle fidye yazılımı veya reklam yazılımı gibi diğer kötü amaçlı yazılım türlerinden gelir. Aşağıda bazı gerçek dünya örnekleri verilmiştir:
Microsoft Exchange güvenlik açığının Prometei kripto para birimi botnet tarafından istismar edilmesi
Prometei, Monero kripto para biriminin madenciliği için kullanılan modüler ve çok aşamalı bir botnet’tir. 2021’in başlarında Cybereason, botnet’in Microsoft Exchange güvenlik açıklarından yararlandığını keşfetti. Virüslü cihazları Monero madenciliği yapmak için kullandı.
Zıpkınla balık avlayan PowerGhost tarafından çalınan Windows kimlik bilgileri
PowerGhost, önce bir sisteme erişim elde etmek için hedefli kimlik avını kullanır ve ardından Windows kimlik bilgilerini çalar ve yaymak için EternalBlue açıklarından ve Windows Yönetim Araçları’ndan yararlanır. Daha sonra antivirüs yazılımını ve rakip kripto madencilerini devre dışı bırakmaya çalışır.
Graboid kapları kullanarak yayıldı
Graboid, kendisini bilinen ilk kripto madenciliği solucanı yapan kendi kendini yayma yeteneklerine sahip bir cryptojacking botnet’idir. Kimlik doğrulaması olmadan internete maruz kalan Docker Engine dağıtımlarını bularak yayılır. 2.000’den fazla konuşlandırmanın Graboid tarafından etkilendiği tahmin edilmektedir.
Kötü amaçlı Docker Hub hesapları tarafından çıkarılan Monero
Haziran 2020’de, kripto madenciliği yazılımının kurbanların sistemlerine teslimi için Docker Hub ağındaki Docker görüntülerini kullanan bir cryptojacking planı belirlendi. Bu yöntem, algılamayı önlemeye yardımcı olur. Şaşırtıcı bir şekilde, bu virüslü görüntülere iki milyondan fazla kez erişildi ve haksız kazançların yaklaşık 36.000 $ olduğu tahmin edildi.
MinerGate varyantı
MinerGate kötü amaçlı yazılım ailesinin bir çeşidinin ilginç bir özelliğe sahip olduğu bulundu. Fare hareketlerini algılama ve madencilik faaliyetlerini askıya alma özelliğine sahiptir. Bu, performansta ani bir düşüş olursa kurbanların ihbar edilmesini önler.
Windows işlemlerini kullanan BadShell
Comodo Cybersecurity, bir müşterinin sisteminde kripto para madenciliği yapmak için meşru Windows işlemlerini kullanan kötü amaçlı yazılım buldu. BadShell’in kullanım alanları:
- Kötü amaçlı yazılım kodunu mevcut çalışan bir işleme enjekte etmek için PowerShell betiği
- Kalıcılık için Görev Zamanlayıcı
- Kötü amaçlı yazılımın ikili kodunu tutmak için kayıt defteri
Şirket sistemlerine el koyan haydut çalışanlar
Bir Avrupa bankası, sunucularında bazı sıra dışı trafik modelleri yaşadı. Gece süreçleri yavaştı ve teşhis araçları sıra dışı herhangi bir şey tespit edemedi. Veri merkezinin fiziksel olarak incelenmesi, sahte bir personel tarafından kurulan döşeme tahtalarının altında bir kripto madenciliği sisteminin keşfedilmesine yol açtı.
GitHub kullanarak kripto madenciliği
Cryptojacker’lar, kripto madenciliği yapan kötü amaçlı yazılımlar için bir ana bilgisayar olarak GitHub’ı kullanıyordu. Buldukları meşru projelerden çatallı projeler oluştururlar. Kötü amaçlı yazılımı, çatallı projenin dizin yapısında gizlerler. Cryptojacker’lar, bir kimlik avı düzeni kullanarak insanları cezbeder ve bu kötü amaçlı yazılımı indirmeleri için onları kandırır.
rTorrent güvenlik açığından yararlanma
Cryptojackers, bir rTorrent yanlış yapılandırma güvenlik açığı keşfetti. Bu, XML-RPC iletişimi için kimlik doğrulaması olmayan bazı rTorrent istemcilerinin açığa çıkmasına neden oldu. Bu istemciler hedeflendiğinde, bu istemcilere bir Monero kripto madencisi dağıtılır.
Facexworm: Kötü amaçlı Chrome uzantısı
Facexworm bir Google Chrome uzantısıdır. Facebook Messenger kullanarak kullanıcıların bilgisayarlarına bulaşıyor. Başlangıçta, reklam yazılımı sağladı. Daha sonra, kripto para borsalarını hedeflemeye ve kripto madenciliği kodu sunmaya başladı. Kötü amaçlı bağlantılar, virüs bulaşmış Facebook hesapları aracılığıyla teslim edilmeye devam eder. Ayrıca, kripto korsanlık kodunun bu web sayfalarına enjeksiyonuna izin veren web hesaplarını ve kimlik bilgilerini çalma yeteneğine de sahiptir.
WinstarNssmMiner: Kavrulmuş toprak politikası
WinstarNssmMiner olarak adlandırılan bu hızlı yayılan kötü amaçlı yazılım, onu kaldırmaya çalışan herkesin bilgisayarını çökertir: Bunu, önce bir svchost.exe işlemini başlatıp ona bir kod enjekte ederek başarır. Oluşturulan sürecin özniteliğini CriticalProcess olarak ayarlar. Bilgisayar kritik bir işlem olduğunu düşündüğü için işlem kaldırıldığında çöküyor.
CoinMiner rakiplerini yok ediyor
Bilgisayar korsanları, bulaştırdıkları sistemlerde halihazırda çalışan kripto madencilerini bulup öldürmek için kötü amaçlı yazılım tasarlar. CoinMiner bir örnektir. Windows sistemlerinde bir AMDDriver64 işlemi olup olmadığını kontrol eder. Kötü amaçlı yazılımın içinde iki liste, $malwares ve $malwares2 bulunur ve diğer kripto madencilerinin parçası olan işlem adlarını içerir. CoinMiner daha sonra bu işlemleri öldürür.
Güvenliği ihlal edilmiş MikroTik yönlendiricileri kripto madencileri yayar
80’den fazla cryptojacking kampanyası MikroTik yönlendiricilerini hedef aldı ve çok sayıda cihazın güvenliği ihlal edildi. Bu kampanyalar, MikroTik’in bir yama sağladığı CVE-2018-14847 bilinen bir güvenlik açığından yararlandı. MikroTik, taşıyıcı sınıfı yönlendiriciler ürettiğinden, failler hedef sistemlere geniş erişim elde eder.
Cryptojacking nasıl önlenir?
Bir sistemin cryptojacking tarafından ele geçirildiğini tespit etmek zordur, ancak önleyici tedbirlerin alındığından emin olunması bilgisayarları, ağ sistemlerini veya kripto varlıkları koruyabilir:
Eğitim BT Ekipleri
BT ekipleri, soruşturmayı ilerletmek için acil önlemler alınabilmesi için kripto hırsızlığını ustaca tespit edecek ve her zaman bir saldırı belirtilerinin farkında olacak şekilde eğitilmelidir.
Çalışanları Eğitmek
BT ekipleri, yavaş çalışan veya aşırı ısınan sistemler olduğunda bunu bilmek için çalışanlara güvendiğinden, çalışanların siber güvenliği engelleyebilecek bu tür belirtilerden haberdar edilmesi gerekir. Güvenilir bir kaynaktan gelmedikçe e-postalardaki rastgele bağlantılara tıklamamaları için eğitilmeleri gerekir. Aynı durum kişisel e-postalar için de geçerlidir.
Anti-Cryptomining Uzantılarından Yararlanma
Tarayıcı uzantıları, kripto madencilerini uzakta tutabilir. Web tarayıcıları genellikle saldırganlar tarafından cryptojacking komut dosyası dağıtımı için tercih edilen bir platform olduğundan, kripto madenciliği önleyici uzantıların kullanılması önemlidir. Anti-Miner, MinerBlock, No Coin vb. kullanılabilecek bu tür uzantılara bazı örneklerdir.
Reklam Engelleyicileri Kullanma
Web reklamları, cryptojacking komut dosyalarının gömülmesi için başka bir yaygın araçtır. Bu nedenle, bu durumda en iyi önleyici tedbir, kötü niyetli kripto madenciliği kodlarını hem tespit etme hem de engelleme yeteneğine sahip olduğu için bir reklam engelleyici kullanmaktır.
JavaScript’i Devre Dışı Bırakma
Çevrimiçi gezinirken JavaScript’i devre dışı bırakmak, cryptojacking kodlarının sisteminize bulaşmasını önleyebilir. Ancak, bunu yapmanın tarama sırasında gerekli olan birçok işlevi de engelleyeceğini unutmayın.
Temel Çıkarımlar
Diğer siber suç biçimleri gibi, kripto para çalmanın da amacı kârdır. Ancak, çoğu tehdidin aksine, kurban tarafından fark edilmeyecek şekilde tasarlanmıştır. Cryptojacking kodu, kullanıcı tarafından fark edilmeden kalmaya yetecek kadar sistem kaynağı kullanır. Bu nedenle, cryptojacking’in fark edilebilen tek işareti daha yavaş performanslar veya yürütmedeki gecikmeler olduğundan, sisteminiz sorunsuz çalışmadığında dikkatli ve farkında olmanız önemlidir.
