Phát hiện các thợ đào tiền ảo ẩn trên máy tính: phân tích chuyên nghiệp và các phương pháp bảo vệ

Với sự phát triển của thị trường tiền điện tử, kẻ xấu đang tích cực phát tán phần mềm độc hại để khai thác ẩn. Những chương trình này, được biết đến với tên gọi mã độc khai thác tiền điện tử, bí mật sử dụng tài nguyên tính toán của máy tính của bạn để đào các tài sản kỹ thuật số. Trong bài viết này, chúng tôi trình bày phân tích chuyên nghiệp về các phương pháp phát hiện và trung hòa các thợ đào ẩn.

Cryptojacking độc hại là gì?

Cryptojacking (cryptojacking) là phần mềm độc hại được cài đặt trái phép trên thiết bị của người dùng để sử dụng công suất tính toán của họ cho mục đích khai thác tiền điện tử (Bitcoin, Monero, Ethereum và các loại khác). Khác với khai thác hợp pháp, cryptojacking hoạt động mà không có sự đồng ý và kiến thức của người dùng, mang lại lợi nhuận chỉ cho những kẻ xấu.

Thông tin chuyên nghiệp: Các phần mềm độc hại khai thác tiền điện tử hiện đại thường sử dụng các thuật toán được tối ưu hóa cho CPU ( và GPU ), cho phép hoạt động hiệu quả ngay cả trên các thiết bị có công suất trung bình. Đồng tiền điện tử Monero thường được sử dụng nhất cho việc khai thác ẩn do định hướng về sự riêng tư và khả năng khai thác hiệu quả trên các máy tính thông thường.

( Cơ chế hoạt động của phần mềm độc hại khai thác tiền điện tử:

1. Nhiễm trùng: phần mềm độc hại xâm nhập qua các tệp tải lên, liên kết lừa đảo, lỗ hổng trong phần mềm hoặc qua các kịch bản trên các trang web bị nhiễm.

2. Ngụy trang: sau khi bị nhiễm, chương trình ngụy trang thành các quá trình hệ thống, điều này làm cho việc phát hiện nó bằng các phương tiện tiêu chuẩn trở nên khó khăn.

3. Đào: phần mềm độc hại sử dụng tài nguyên tính toán của thiết bị để giải quyết các bài toán mã hóa cần thiết cho việc đào, gửi kết quả đến máy chủ của kẻ tấn công.

4. Giao tiếp: để phối hợp khai thác và nhận hướng dẫn, phần mềm độc hại thiết lập kết nối với các máy chủ điều khiển )C2###.

Dấu hiệu có máy đào tiền điện tử trên thiết bị

Để phát hiện hiệu quả các thợ mỏ ẩn, cần chú ý đến những chỉ số sau:

1. Hiệu suất hệ thống bất thường:

   • Giảm đáng kể hiệu suất máy tính khi thực hiện các thao tác tiêu chuẩn
   • Tăng lên thời gian phản hồi của phần mềm và hệ điều hành
   • Các "treo" và độ trễ thường xuyên khi làm việc

2. Tải tài nguyên cao:

   • Mức sử dụng CPU hoặc GPU cao liên tục (70-100%) ngay cả khi ở chế độ chờ
   • Hoạt động bất thường của hệ thống khi không có chương trình tiêu tốn tài nguyên nào đang chạy

3. Anomalies nhiệt độ:

   • Quạt hoạt động với tốc độ cao trong thời gian dài
   • Thân máy thiết bị cảm thấy nóng lên rõ rệt ngay cả khi chỉ có tải tối thiểu
   • Hệ thống làm mát hoạt động ồn hơn bình thường

4. Tiêu thụ năng lượng:

   • Tăng lên đáng kể hóa đơn tiền điện mà không có lý do rõ ràng
   • Laptop nhanh chóng hết pin ngay cả khi thực hiện các tác vụ đơn giản

5. Các quá trình nghi ngờ:

   • Các chương trình không xác định với mức tiêu thụ tài nguyên cao trong trình quản lý tác vụ
   • Các quy trình với tên gọi bất thường hoặc ngẫu nhiên, mô phỏng hệ thống

6. Hoạt động mạng:

   • Tăng lên khối lượng lưu lượng mạng đầu ra
   • Kết nối với các địa chỉ IP hoặc tên miền không rõ ràng

Thông tin chuyên nghiệp: Khác với nhiều loại phần mềm độc hại khác, các thợ đào tiền điện tử cố gắng giữ bí mật trong thời gian dài nhất có thể, vì vậy thường bao gồm các cơ chế tự bảo vệ và vượt qua phần mềm diệt virus, cũng như có thể điều chỉnh tải trọng lên hệ thống một cách động để giảm khả năng bị phát hiện.

Phương pháp phát hiện thợ đào ẩn: cách tiếp cận từng bước

( Bước 1: Phân tích tải tài nguyên hệ thống

Để bắt đầu, cần đánh giá việc sử dụng tài nguyên hiện tại của hệ thống:

Trên Windows:

1. Mở Trình quản lý tác vụ bằng tổ hợp phím Ctrl + Shift + Esc
2. Chuyển đến tab "Quy trình"
3. Sắp xếp danh sách theo mức sử dụng CPU hoặc GPU )GPU###
4. Lưu ý đến các quy trình tiêu tốn nhiều tài nguyên

Trên macOS:

1. Mở "Giám sát hoạt động" từ thư mục "Tiện ích"
2. Kiểm tra tab "CPU" để phân tích mức sử dụng CPU
3. Phân tích mức tiêu thụ năng lượng và tải trên GPU

Thông tin chuyên nghiệp: Các thợ mỏ tiền điện tử thường ngụy trang dưới dạng các quy trình hệ thống hợp pháp với các tên tương tự, chẳng hạn như "svchoste.exe" thay vì "svchost.exe", hoặc sử dụng các tên mô phỏng các thành phần của trình điều khiển video để ngụy trang cho việc tải nặng trên GPU.

( Bước 2: Ứng dụng các công cụ phát hiện chuyên nghiệp

Các giải pháp antivirus hiện đại bao gồm các mô-đun đặc biệt để phát hiện hoạt động khai thác tiền mã hóa:

1. Khởi động quét toàn bộ hệ thống bằng cách sử dụng phiên bản cập nhật của phần mềm diệt virus )Kaspersky, Bitdefender, Malwarebytes###

2. Lưu ý đến các phát hiện cụ thể:

   • "Trojan.CoinMiner"
   • "PUA.BitCoinMiner"
   • "RiskWare.BitCoinMiner"
   • "Win32/CoinMiner"
   • "Trojan.Win32.Miner"

3. Sử dụng các máy quét chuyên biệt:

   • Malwarebytes Anti-Malware
   • AdwCleaner
   • HitmanPro

Thông tin chuyên nghiệp: Hiệu quả phát hiện thợ đào tiền điện tử được nâng cao đáng kể khi sử dụng các giải pháp phân tích hành vi, theo dõi không chỉ các chữ ký của các mối đe dọa đã biết, mà còn cả các mẫu bất thường trong việc sử dụng tài nguyên hệ thống.

( Bước 3: Kiểm tra khởi động tự động và lập lịch tác vụ

Các thợ đào độc hại thường tự cài đặt mình vào chế độ khởi động tự động để đảm bảo tính bền vững:

Trên Windows:

1. Nhấn Win + R, nhập msconfig và nhấn Enter
2. Chuyển đến tab "Tự khởi động" ) hoặc "Dịch vụ" ###
3. Kiểm tra sự hiện diện của các yếu tố nghi ngờ

Ngoài ra, hãy kiểm tra bộ lập lịch tác vụ:

1. Nhấn Win + R, nhập taskschd.msc và nhấn Enter
2. Chuyên nghiệp danh sách các nhiệm vụ đã lên kế hoạch để tìm các yếu tố bất thường với mức độ ưu tiên cao hoặc các khoảng thời gian khởi động kỳ lạ

Trên macOS:

1. Mở "Cài đặt Hệ thống" → "Người dùng và Nhóm" → "Các mục Đăng nhập"
2. Kiểm tra danh sách để tìm các ứng dụng không xác định

( Bước 4: Phân tích các tiện ích mở rộng của trình duyệt và kịch bản

Các trình duyệt khai thác tiền điện tử đã trở thành một phương pháp phổ biến để khai thác ẩn:

1. Kiểm tra các tiện ích đã cài đặt:

   • Chrome: menu → "Công cụ bổ sung" → "Tiện ích mở rộng"
   • Firefox: menu → "Tiện ích và chủ đề"
   • Edge: menu → "Mở rộng"

2. Xóa các tiện ích mở rộng đáng ngờ, đặc biệt là những tiện ích mới được cài đặt từ các nguồn không rõ ràng hoặc có đánh giá người dùng thấp.

3. Cài đặt các tiện ích bảo mật:

   • MinerBlock
   • NoScript
   • uBlock Origin

Thông tin chuyên nghiệp: Các web miner thường sử dụng công nghệ WebAssembly )Wasm### để thực hiện hiệu quả mã khai thác ngay trong trình duyệt. Việc chặn thực thi WebAssembly trong trình duyệt có thể giảm thiểu đáng kể nguy cơ bị lây nhiễm.

( Bước 5: Phân tích sâu về lưu lượng mạng và các quy trình hệ thống

Để phát hiện chuyên nghiệp các thợ mỏ tiền điện tử, hãy sử dụng các công cụ chuyên dụng:

1. Process Explorer )Microsoft###:

   • Tải xuống từ trang web chính thức của Microsoft
   • Khởi động với quyền quản trị viên
   • Sử dụng chức năng "Verify Signatures" để kiểm tra chữ ký số của các quy trình
   • Phân tích cây quy trình để phát hiện các mối quan hệ cha-con nghi ngờ

2. Phân tích kết nối mạng:

   • Mở Command Prompt (Win + R → cmd)
   • Thực hiện lệnh netstat -ano
   • Tìm kiếm kết nối với các bể khai thác nổi tiếng hoặc các miền khả nghi
   • So sánh PID (Process ID) các kết nối đáng ngờ với các quá trình trong trình quản lý tác vụ

3. Wireshark cho phân tích sâu về lưu lượng:

   • Lọc lưu lượng theo các cổng nghi ngờ ( chẳng hạn như, 3333, 14444, 8545)
   • Tìm kiếm các giao thức stratum không mã hóa được sử dụng để giao tiếp với các bể khai thác

Ví dụ phân tích trường hợp: XMRig

XMRig — một trong những công cụ phổ biến nhất để đào Monero, thường được sử dụng cho các mục đích độc hại. Các đặc điểm chính:

• Sử dụng CPU cao
• Kết nối với các cổng 3333, 5555 hoặc 7777
• Quy trình có thể được ngụy trang dưới dạng dịch vụ hệ thống
• Sự hiện diện của các tệp cấu hình chỉ định các pool khai thác

Làm thế nào để ngăn chặn sự lây nhiễm bởi các thợ mỏ tiền điện tử

Ngăn ngừa hiệu quả hơn nhiều so với việc khắc phục hậu quả của sự nhiễm bệnh:

1. Cập nhật hệ thống và phần mềm:

   • Thường xuyên cài đặt các bản cập nhật bảo mật của hệ điều hành
   • Hãy duy trì các phiên bản trình duyệt và plugin cập nhật
   • Cập nhật driver thiết bị kịp thời

2. Làm việc an toàn trên mạng:

   • Không tải lên tệp từ các nguồn không đáng tin cậy
   • Tránh truy cập vào các trang web nghi ngờ
   • Sử dụng VPN để bảo vệ thêm cho lưu lượng mạng

3. Sử dụng phần mềm bảo vệ:

   • Thiết lập giải pháp bảo mật toàn diện với tính năng phát hiện thợ đào tiền điện tử
   • Thiết lập quét hệ thống định kỳ
   • Kích hoạt chức năng bảo vệ web để chặn các script độc hại

4. Quản lý tiện ích mở rộng của trình duyệt:

   • Chỉ cài đặt các tiện ích mở rộng từ các cửa hàng chính thức
   • Thỉnh thoảng kiểm tra danh sách các tiện ích đã cài đặt
   • Xóa các tiện ích không sử dụng

5. Giám sát hệ thống:

   • Kiểm tra thường xuyên các quy trình trong trình quản lý tác vụ
   • Theo dõi hoạt động mạng bất thường
   • Hãy chú ý đến những thay đổi trong hiệu suất của máy tính

Thông tin chuyên nghiệp: Các cuộc tấn công cryptojacking hiện đại ngày càng nhắm vào hạ tầng đám mây và container, sử dụng các lỗ hổng trong các nền tảng ảo hóa và orchestration, chẳng hạn như Kubernetes, để khai thác quy mô lớn. Khi sử dụng dịch vụ đám mây, hãy thường xuyên kiểm tra các chỉ số sử dụng tài nguyên và nhật ký kiểm toán để phát hiện hoạt động bất thường.

Xóa các thợ đào tiền điện tử đã phát hiện

Nếu bạn phát hiện ra trình khai thác độc hại trên thiết bị của bạn, hãy làm theo thuật toán này:

1. Cách ly ngay lập tức:

   • Ngắt kết nối thiết bị khỏi internet để ngăn chặn việc truyền dữ liệu và nhận cập nhật từ phần mềm độc hại
   • Hoàn tất các quy trình đáng ngờ qua trình quản lý tác vụ

2. Gỡ bỏ phần mềm độc hại:

   • Sử dụng giải pháp diệt virus ở chế độ quét không kết nối mạng
   • Khởi động các tiện ích chuyên nghiệp để loại bỏ phần mềm độc hại (Malwarebytes, AdwCleaner)
   • Kiểm tra hệ thống bằng một vài trình quét virus để tăng lên khả năng phát hiện

3. Làm sạch hệ thống:

   • Xóa tất cả các mục khởi động tự động liên quan đến phần mềm độc hại