cách ngăn chặn đào tiền ảo

Cách ngăn chặn việc “đào tiền ảo” trong doanh nghiệp

February 6, 2018 | vietsunshine

Sự phổ biến ngày càng tăng của Bitcoin và các đồng tiền ảo khác đác tạo ra sự tò mò và quan tâm của các chuyên gia bảo mật. Các phần mềm đào khai thác Crypto đã được tìm thấy trên máy của người dùng, thường được cài đặt bởi các botnet. Các tổ chức cần phải hiểu được những rủi ro gây ra bởi phần mềm này và những hành động để phòng trống và giảm nhẹ.

Cato Research Labs đánh giá khai thác mật mã là một mối đe dọa ở mức độ vừa phải đối với tổ chức. Sự gián đoạn tức thời của cơ sở hạ tầng của tổ chức hoặc mất dữ liệu nhạy cảm dường như không phải là kết quả trực tiếp của việc khai thác mật mã.

Tuy nhiên có những rủi ro đáng kể về chi phí và cơ sở hạ tầng cần được giải quyết.

Hiểu biết về Blockchain và Crypto Mining

Khai thác Crypto là quá trình xác nhận các giao dịch tiền ảo và thêm các khối mã hóa vào blockchain. Người khai thác giải quyết một hàm băm (hàm mã hóa trong máy tính) để thiết lập một khối có giá trị và nhận được phần thưởng cho những nỗ lực của họ. Các khối khai thác càng nhiều thì càng khó khăn và cần nhiều nguồn lực để khai thác một khối mới.

Ngày nay, quá trình khai thác có thể đòi hỏi thời gian nhiều năm với một máy tính có sẵn. Để giải quyết vấn đề này, người ta đã sử dụng phần cứng tùy chỉnh để đẩy nhanh quá trình khai thác cũng như tạo ra “mining pools” nơi các máy tính làm việc cùng nhau để giải quyết các thuật toán.

Càng nhiều thiết bị, càng có nhiều cơ hội khai thác các khối mới và nhận nhiều phần thưởng. Điều đó đã thúc đẩy các miner khai thác mạng doanh nghiệp và đám mây.

Tham gia vào các nhóm khai thác đòi hỏi các máy tính chạy phần mềm khác thác gốc hoặc dựa trên JavaScript. Cả hai sẽ sử dụng giao thức Stratum để phân phối các nhiệm vụ tính toán giữa các máy tính trong vùng khai thác sử dụng TCP hoặc HTTP/S (về mặt kỹ thuật, WebSockets qua HTTP/S).

Phần mềm khai thác gốc thường sẽ sử dụng kết nối TCP dài, chạy Stratum qua TCP; Phần mềm dựa trên JavaScript thượng dựa vào các kết nối ngắn hơn và chạy Stratum qua HTTP/S.

Các rủi ro của khai thác mật mã đối với doanh nghiệp

Trong mọi trường hợp, phần mềm này sẽ đồi hỏi sự tính toán cao và làm chậm máy tính của nhân viên. Việc CPU hoạt động với “high-load” trong một thời gian dài sẽ tăng chi phí điện năng cũng như rút ngắn tuổi thọ của bộ xử lý hoặc pin với laptop.

Phầm mềm khai thác cũng đang được phát tán bởi một số botnet, chúng truy cập vào hệ điều hành tương tư như cách mà phần mềm độc hại của botnet khai thác máy tính của nạn nhân. Điều này có nghĩa sự hiện diện của mining software cho thấy thiết bị đó đã bị xâm nhập.

Làm cách nào để bảo vệ doanh nghiêp chống lại việc đào tiền ảo

Cato Research Labs khuyên bạn nên chặn khai thác crypto trên mạng của bạn. Điều này có thể được thực hiện bằng cách làm gián đoạn quá trình gia nhập và liên lạc với các “mining pool” (mỏ khai thác).

Công cụ kiểm tra gói tin sâu (DPI) trong nhiều thiết bị tường lửa có thể được sử dụng để phát hiện và chặn Stratum qua TCP. Ngoài ra, bạn có thể chặn các địa chỉ và tên miền có liên quan đến các mỏ khai thác.

Phương pháp 1: Ngăn chặn các phiên Unencrypted Stratum với DPI

Các động cơ DPI có thể làm gián đoạn các giao tiếp blockchain bằng cách chặn Stratum qua TCP. Stratum sử dụng kiến trúc xuất bản / đăng ký, nơi các máy chủ gửi tin nhắn (publish) tới khách hàng đã đăng ký. Chặn đăng ký hoặc quá trình này sẽ ngăn Stratum hoạt động trên mạng.

DPI rules phải được cấu hình cho JSON.

Stratum sử dụng một yêu cầu/phản hồi qua JSON-RPC:

Một yêu cầu đăng ký tham gia một pool sẽ có các thực thể sau: id, method, và params. Cấu hình các quy tắc DPI để tìm các tham số này để chặn Stratum trên TCP không mã hóa.

Phương pháp 2: Chặn địa chỉ của các Mining Pool công cộng

Tuy nhiên, một số mỏ khai thác tạo ra các kênh Stratum an toàn. Điều này ặc biệt đúng đối với các ứng dụng dựa trên JavaScript thường chạy Stratum qua HTTPS. Việc phát hiện Stratum, trong trường hợp đó, sẽ rất khó đối với DPI. Trong những trường hợp này, các tổ chức nên chặn các địa chỉ IP và các tên miền tạo thành các pool blockchain công khai.

Để xác định địa chỉ IP cần chặn, hay nhìn vào thông tin cấu hình cần thiết để tham gia vào một mining pool. Phần mềm khai thác đòi hỏi người khác thác điền các thông tin:

  • Địa chỉ Pool thích hợp (domain hoặc IP)
  • Một địa chỉ ví tiền
  • Mật khẩu để tham gia vào Pool

Thông tin cấu hình thường được truyền qua JSON hoặc thông qua các đối số dòng lệnh

Các doanh nghiệp có thể cấu hình các quy tắc tường lửa để sử dụng một black list và chặn các địa chỉ có liên quan. Theo lý thuyết, một danh sách như vậy nên dễ dàng tạo ra khi thông tin cần thiết được công bố công khai. Hầu hết các mỏ khai thác đều được công khai trên thu hút các miner vào mạng của họ.

Mặc dù đã nghiên cứu sâu nhưng Cato Research Labs không thể tìm thấy nguồn cấp dữ liệu đáng tin cậy của địa chỉ mining pool. Nếu không có danh sách như vậy, việc thu thập địa chỉ các địa chỉ khai thác mỏ để chặn sẽ mất nhiều thời gian.

Các chuyên gia IT sẽ buộc phải nhập các địa chỉ công khai theo cách thủ công, điều này có thể sẽ thay đổi hoặc tăng lên, đòi hỏi phải duy trì và cập nhật thường xuyên.

Cato Research Labs công khai danh sách các địa chỉ Mining Pool

Để giải quyết vấn đề này, Cato Research Labs đã tạo ra một danh sách các địa chỉ mining pool dành cho cộng đồng lớn hơn. Sử dụng Google để xác định các trang web và sau đó sử dụng các kỹ thuật cạo, các nhà nghiên cứu Cato đã có thể trích xuất địa chỉ cho nhiều mining pool.

Các nhà nghiên cứu Cato đã viết mã code để tận dụng những kết quả này để phát triển một nguồn cấp dữ liệu địa chỉ mining pool. Hôm nay, danh sách xác định hàng trăm địa chỉ pool và nên phù hợp với hầu hết các  DPI rule.. Xem danh sách đầy đủ tại đây.

Kết luận

Trước nguy cơ làm tổn hại thiết bị, tăng chi phí và nhiễm botnet, Cato Research đề nghị các IT ngăn chựn và loại bỏ các crypto mining từ hệ thống mạng của doanh nghiệp.

Cato Research Labs cung cấp một danh sách địa chỉ có thể được sử dụng cho mục tiêu đó, ngăn chặn quyền truy cập vào các pool blockchain công khai. Mặc dù vậy, luôn có các đị chỉ mới, nên các nhà nghiên cứu khuyên bạn nên xây dụng các quy tắc DPI.

Tags: , , ,