Несанкционированный майнинг прошёл путь от браузерных CPU-скриптов 2014 года до скрытых кластеров, добывающих Monero на чужих GPU. Поворотным моментом стал 2017-й: CoinHive внёс в арсенал WebAssembly и Stratum-прокси, превращая каждую вкладку в добытчика; к 2024-му злоумышленники уже эксплуатировали CVE-2023-22527 и автоматически разворачивали XMRig внутри Kubernetes.
Средства защиты развивались следом в феврале 2024 года Bitdefender GravityZone добавил режим Cryptomining Protection, который отслеживает всплески CPU, GPU и нетипичные вызовы Stratum; апрельская версия 6.61 научилась изолировать заражённый контейнер. Kaspersky зафиксировал 135-процентный всплеск интереса к крипто-драйнерам на дарк-вебе и встроил расширенный набор индикаторов скрытого майнинга. Intel, в союзе с ESET и Microsoft, перенёс детекцию на уровень кремния: TDT анализирует телеметрию ядра и отсекает майнер раньше начала хеширования. TDT также анализирует счётчики ядра и замечает искусственный рост нагрузки, который не видят прикладные датчики.
Что касается домашних условий, достаточно использовать многофакторную аутентификацию для входа в веб-панель роутера, отключать UPnP, чтобы не открывался порт 4444, и проверять счёт за электричество: неожиданный рост почти всегда означает чужой майнер. Актуальные патчи ОС и прошивки роутера лишают злоумышленника большинства эксплойтов, uBlock Origin или AdGuard с фильтром NoCoin режут JavaScript-майнеры, а resolver 1.1.1.2 от Cloudflare блокирует домены пулов ещё на уровне DNS. Всплеск оборотов кулеров без видимой нагрузки — верный сигнал открыть диспетчер задач и остановить xmrig.exe или powershell.exe с длинной Base64-строкой.
- В инфраструктуре, основанной на Kubernetes, задайте resourceQuota и limitRange, чтобы даже успешно внедрённый контейнер не смог забрать все ядра;
- В Windows-сетях GPO «Maximum Processor State = 80 %» лишает майнера экономического смысла;
- В корпоративной среде необходимо использовать слой EDR на рабочих станциях, а на сетевом периметре — NGFW. Практика показывает, что объединённая телеметрия сети, хоста и контейнера сокращает время обнаружения с недель до часов.
В заключение хотелось бы отметить, что генеративные модели в корне меняют правила игры. Одновременно появление доступных NPU-чипов в ноутбуках даёт злоумышленникам новое поле: незаметный запуск модели LoRA поверх Tensor-ядер способен одновременно тренировать вредоносный ИИ и добывать криптовалюту, пока стандартные датчики CPU ничего не видят. Написать уникальный, недетектируемый майнер и проверить его на публичных песочницах теперь можно за минуты; тот же ИИ подбирает оптимальный набор инструкций под конкретное ядро, повышая прибыль. Впрочем, в ответ защитники внедряют собственных LLM-агентов, прогнозирующих майнинг по слабым поведенческим сигналам ещё до первого хэша.
Автор: Михаил Спицын, киберэксперт лаборатории стратегического развития компании «Газинформсервис»/
Оригинал публикации на сайте CISOCLUB: "Противодействие несанкционированному майнингу: как защититься от криптомайнеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.