آشنایی با حملات Steganography
1404/03/11
Cryptojacking چیست؟
Cryptojacking نوعی حمله سایبری است که در آن مهاجم بدون اطلاع کاربر، از منابع سختافزاری دستگاه او مانند پردازنده، حافظه و برق برای استخراج (mining) ارز دیجیتال استفاده میکند. این نوع حمله معمولاً از طریق اجرای یک اسکریپت مخرب در مرورگر یا نصب بدافزار روی سیستم انجام میشود و برخلاف بسیاری از حملات دیگر، هدف آن سرقت مستقیم اطلاعات نیست، بلکه بهرهبرداری پنهانی از قدرت محاسباتی دستگاه قربانی است. در این روش، هکر با استفاده از توان پردازشی سیستم، معادلات پیچیده ریاضی را حل میکند که در ازای آن، ارز دیجیتال دریافت میکند. این ارز دیجیتال میتواند در یک exchange با دیگر رمزارزها یا fiat currency مبادله شود. در این حمله، مهاجم هیچ هزینهای برای تجهیزات یا مصرف برق پرداخت نمیکند، اما در مقابل، سیستم قربانی دچار کندی، افزایش مصرف منابع، کاهش عمر سختافزار و حتی اختلال در عملکرد میشود. با گسترش استفاده از digital currencies و رشد سریع decentralized finance (DeFi)، انگیزه مهاجمان برای انجام چنین حملاتی بیشتر شده است. در نتیجه، Cryptojacking به یکی از تهدیدات رایج و رو به رشد در فضای سایبری تبدیل شده است، به ویژه برای سازمانها و کاربران بیاطلاعی که ممکن است مدتها بدون آگاهی قربانی این حمله باشند. تشخیص زودهنگام و استفاده از راهکارهای امنیتی به روز، نقش مهمی در مقابله با این تهدید دارد.
نحوه عملکرد cryptojacking
همان طور که گفته شد، در این حمله سایبری، هکرها به صورت مخفیانه وارد سیستمهای کاربران شده و نرمافزارهای استخراج ارز دیجیتال را نصب میکنند. این نرمافزارها بدون اطلاع کاربر، در پسزمینه دستگاه اجرا میشوند و از قدرت پردازش آن برای استخراج ارز دیجیتال یا حتی دسترسی به کیف پولهای دیجیتال بهره میبرند. هکرها عمدتاً دو روش اصلی برای اجرای حملات cryptojacking دارند:
- مهاجم با بهرهگیری از روشهای مهندسی اجتماعی، از جمله ارسال ایمیلهای فیشینگ حاوی لینکهای مخرب یا فایلهای آلوده، کاربر را فریب داده و او را به کلیک کردن روی این لینکها ترغیب میکند؛ اقدامی که در نهایت منجر به نصب نرمافزار استخراج ارز دیجیتال بر روی دستگاه قربانی میشود.
- مهاجم با آلودهسازی وبسایتها یا تبلیغات آنلاین به کدهای مخرب جاوا اسکریپت، شرایطی را فراهم میکند که این کدها بلافاصله پس از بارگذاری صفحه در مرورگر کاربر فعال شوند و به صورت پنهانی، فرآیند استخراج ارز دیجیتال را بدون اطلاع کاربر آغاز کنند.
معمولاً هکرها از هر دو روش به صورت همزمان استفاده میکنند تا بیشترین سود را ببرند. برخلاف بدافزارهای رایج که ممکن است دادهها را خراب یا حذف کنند، اسکریپتهای cryptojacking به دادههای کاربر آسیبی نمیرسانند اما منابع سختافزاری و پردازشی دستگاه را مصرف میکنند. برای کاربران عادی، این مسئله ممکن است فقط باعث کاهش سرعت و کند شدن سیستم شود، اما برای سازمانها مشکل بزرگتری است، چرا که:
- هزینههای اضافی برای تیمهای پشتیبانی و IT به دلیل پیگیری مشکلات و تعمیر یا تعویض سختافزار افزایش مییابد.
- مصرف برق به شکل قابل توجهی بالا میرود و هزینهها را افزایش میدهد.
برخی از این اسکریپتها توانایی گسترش خودکار در شبکه(مشابه ویروسها) را دارند و میتوانند به دستگاههای دیگر متصل به همان شبکه نفوذ کنند. این ویژگی باعث میشود شناسایی و حذف آنها بسیار پیچیدهتر و دشوارتر شود. همچنین، این اسکریپتها دستگاه را بررسی میکنند تا ببینند آیا قبلاً توسط نرمافزار استخراج ارز دیجیتال دیگری آلوده شده است یا خیر؛ در صورت شناسایی چنین نرمافزاری، آن را غیرفعال کرده و کنترل استخراج را به دست میگیرند.
حمله cryptojacking فقط محدود به کامپیوترهای شخصی نیست و دستگاههای موبایل اندرویدی را نیز میتواند مورد هدف قرار دهد. هرچند قدرت پردازشی گوشیها محدود است، اما وقتی هزاران دستگاه به طور همزمان آلوده شوند، مجموع این توان محاسباتی برای هکرها سودآور خواهد بود.
در گذشته، برخی وبسایتها با اجازه و رضایت کاربران از قدرت پردازشی دستگاههای آنها برای استخراج ارز دیجیتال استفاده میکردند. این روش نوعی توافق دوطرفه محسوب میشد، کاربران از خدمات یا محتوای رایگان بهرهمند میشدند و در مقابل، سایتها با استفاده از منابع سختافزاری کاربران به درآمدزایی از طریق استخراج ارز دیجیتال میپرداختند. این مدل به ویژه در وبسایتهایی که کاربران زمان زیادی را در آنها سپری میکردند، مانند پلتفرمهای بازی یا تماشای ویدیو، کاربرد داشت. با این حال، مسئلهای که به تدریج مطرح شد، این بود که کاربران اغلب نمیدانستند دقیقاً چه میزان از منابع سیستم آنها مصرف میشود یا این فرایند تا چه حد تحت کنترل و اطلاع آنها انجام میگیرد. همین ابهام باعث شد اعتماد به این روش کاهش یابد و در بسیاری موارد، مرز میان استفاده مجاز و سوءاستفاده از منابع کاربران از بین برود.
نمونههای واقعی از حملات Cryptojacking
- در سال ۲۰۱۸ فاش شد که وبسایت مشهور به اشتراک گذاری فایل The Pirate Bay به طور مخفیانه از کد جاوا اسکریپت مربوط به سرویس Coinhive استفاده میکرد؛ سرویسی که برای استخراج ارز دیجیتال Monero طراحی شده بود. این کد هنگام بازدید کاربران از سایت، بدون کسب اجازه و اطلاع آنها، در پسزمینه مرورگر اجرا میشد و منابع پردازشی سیستم را به کار میگرفت. کاربران هیچ گزینهای برای انصراف از این فرآیند نداشتند و استخراج ارز به صورت پنهانی، در طول بازدید آنها از سایت ادامه پیدا میکرد.
- در سال ۲۰۱۹، هشت اپلیکیشن مجزا که به طور مخفیانه با استفاده از منابع سیستم کاربر اقدام به استخراج رمزارز میکردند، از Microsoft Store حذف شدند. این اپلیکیشنها ظاهراً توسط سه توسعه دهنده مختلف منتشر شده بودند، اما گمان میرفت که همه آنها در واقع به یک فرد یا گروه یکسان تعلق داشتهاند. این برنامهها از طریق جستجوی کلمات کلیدی در Microsoft Store، در دسترس کاربران قرار میگرفتند. هنگامی که کاربر یکی از این برنامهها را دانلود و اجرا میکرد، به طور ناخواسته کد جاوااسکریپتی که برای استخراج ارز دیجیتال طراحی شده بود نیز بارگیری میشد. این اسکریپت فعال میشد و با استفاده از منابع پردازشی دستگاه، رمزارز Monero استخراج میکرد که در نتیجه باعث کاهش چشمگیر عملکرد دستگاه میشد.
- در اوایل سال ۲۰۱۸، مشخص شد که اسکریپت استخراج رمزارز CoinHive به طور مخفیانه از طریق تبلیغات نمایش داده شده در YouTube اجرا میشود. این تبلیغات بر بستر پلتفرم تبلیغاتی DoubleClick متعلق به گوگل قرار داشتند و بدون اطلاع کاربران، کد استخراج Monero را فعال میکردند. در نتیجه، هزاران دستگاه هنگام مشاهده این تبلیغات، به صورت ناخواسته به استخراج رمزارز مشغول میشدند و منابع پردازشی آنها به طور چشمگیری مصرف میشد.
- در سال ۲۰۱۸، بیش از ۲۰۰,۰۰۰ روتر MikroTik در برزیل مورد هدف حمله سایبری گستردهای قرار گرفتند. در این حمله، مهاجمان با سوء استفاده از ضعفهای امنیتی این دستگاهها، فرآیند استخراج رمزارز CoinHive را به صورت گسترده و پنهانی در ترافیک وب کاربران فعال کردند. این موضوع باعث کاهش چشمگیر عملکرد دستگاهها و افزایش مصرف منابع شبکه شد و امنیت کاربران و شبکههای خانگی و سازمانی را به شدت تهدید کرد.
تحولات حملات Cryptojacking و تأثیر آن بر امنیت شبکههای سازمانی:
با گسترش روزافزون فناوری بلاکچین و افزایش محبوبیت رمزارزها، حملات Cryptojacking نیز به طور چشمگیری رشد یافتهاند و مهاجمان به صورت مداوم در حال به کارگیری روشهای نوین برای اجرای این تهدیدات پیچیده هستند. در ادامه به مهمترین روندهایی اشاره میشود که سازمانها و متخصصان امنیتی ممکن است با آنها مواجه شوند:
- Cloud-based cryptojacking: در سالهای اخیر، مهاجمان سایبری به طور قابل توجهی تمرکز خود را بر زیرساختهای مبتنی بر ابر (Cloud Infrastructure) افزایش دادهاند. آنها با مورد هدف قرار دادن سرویسهای ابری، کلاسترهای Kubernetes و containerized workloads، عملیات استخراج رمزارز را با مقیاس بسیار بزرگتر و بازدهی بالاتری انجام میدهند. چرا که منابع ابری به دلیل قابلیت گسترش سریع، انعطافپذیری بالا و دسترسی از راه دور، بستری ایدهآل برای انجام فعالیتهای استخراج رمزارز غیرمجاز فراهم میکنند. مهاجمان با نفوذ به حسابهای ابری یا سوءاستفاده از تنظیمات نادرست امنیتی، میتوانند بدون اینکه قربانیان متوجه شوند، از قدرت محاسباتی سرورها و کلاسترهای ابری برای استخراج رمزارز استفاده کنند.
- IoT cryptojacking و edge cryptojacking: با پیشرفت و توسعه زیرساختهای نوین، مهاجمان، حوزه فعالیت خود را به دستگاههای متصل به اینترنت اشیاء (Internet of Things) گسترش دادهاند. آنها با استفاده از اسکریپتها و بدافزارهای cryptojacking اقدام به آلوده سازی تجهیزات هوشمند، سیستمهای صنعتی IoT و حتی خودروهای هوشمند میکنند تا بتوانند از منابع این دستگاهها برای استخراج رمزارز بهرهبرداری کنند.
- Cryptojacking malware integrated with ransomware: به منظور افزایش اثربخشی، برخی مهاجمان بدافزارهای cryptojacking را با فرایندهایی مانند data theft، رمزگذاری باجافزاری (ransomware encryption) و ابزارهای کنترل از راه دور (Remote Access Trojans) ترکیب کردهاند تا حملات خود را پیچیدهتر کنند.
- Cryptojacking-as-a-Service (CJaaS): یکی از تهدیدات نوظهور و نگران کننده در دنیای امنیت سایبری، پدیدهای به نام Cryptojacking-as-a-Service است. در این مدل، مجرمان سایبری با بهرهگیری از زیرساختهای موجود در دارک وب، پلتفرمهایی را ارائه میدهند که امکان اجرای حملات Cryptojacking را به صورت پنهانی برای کاربران غیرحرفهای نیز فراهم میسازند. این خدمات آماده، دقیقاً مشابه مدلهای قانونی مانند SaaS طراحی شدهاند، با این تفاوت که هدف آنها تسهیل در انجام فعالیتهای مجرمانه است. سرویسهای CJaaS معمولاً شامل پنلهای مدیریتی با رابط کاربری ساده، اسکریپتهای آماده برای نفوذ به سیستمها، آموزشهای ویدیویی، ابزارهای دور زدن آنتی ویروس و حتی پشتیبانی فنی در دارک وب هستند.
نشانههای حملات Cryptojacking:
- افت محسوس عملکرد سیستم: در صورتی که دستگاه شما نسبت به گذشته با کندی مواجه شده، به صورت مکرر هنگ میکند، ناگهان دچار کرش (Crash) میشود یا سرعت پاسخ دهی آن کاهش یافته است، این موارد میتوانند نشانهای از فعالیتهای پنهانی مانند استخراج رمزارز در پسزمینه سیستم باشند. از دیگر نشانههای احتمالی میتوان به افزایش غیرعادی دمای دستگاه، به ویژه در لپتاپها و تلفنهای همراه، در زمانی که هیچ برنامه سنگینی در حال اجرا نیست، اشاره کرد. این علائم میتوانند هشداری جدی درباره وجود بدافزارهای استخراج رمزارز باشند.
- استفادهی غیرعادی از CPU یا GPU: یکی از شاخصترین نشانههای وجود فعالیت مشکوک در سیستم، مصرف غیرعادی و مداوم منابع سختافزاری مانند پردازنده مرکزی (CPU) و پردازنده گرافیکی (GPU) است، به ویژه در شرایطی که هیچ نرمافزار سنگینی در حال اجرا نیست. این وضعیت میتواند حاکی از اجرای مخفیانه برنامههایی مانند ماینرهای رمزارز باشد. برای بررسی دقیق این موضوع، میتوان از ابزارهای نظارتی نظیر Task Manager در ویندوز یا Activity Monitor در سیستمعامل macOS استفاده کرد.
- افزایش مصرف برق یا کاهش عمر باتری: در صورتی که بدون تغییر در الگوی استفاده یا نصب نرمافزارهای جدید، با افزایش غیرمنتظره مصرف برق یا کاهش محسوس سرعت شارژدهی باتری مواجه شدید، این موضوع میتواند نشانهای از فعالیتهای پنهان و مخربی مانند استخراج رمزارز توسط بدافزارها در پسزمینه سیستم باشد. چنین فعالیتهایی فشار مداومی بر منابع سختافزاری وارد میکنند و منجر به مصرف بیشتر انرژی خواهند شد.
- ترافیک مشکوک شبکه: در حملات Cryptojacking، ممکن است دستگاه آلوده به صورت مداوم با سرورهای ناشناس در ارتباط باشد یا حجم بالایی از دادهها را به بیرون از شبکه ارسال کند. این نوع ترافیک غیرمعمول را میتوان با استفاده از ابزارهای نظارت بر شبکه شناسایی کرد. مشاهدهی ارتباطات رمزگذاری شدهی غیرعادی یا مقاصد ناشناس در گزارشهای ترافیکی، هشداری جدی به شمار میآید و لازم است بلافاصله مورد بررسی قرار گیرد.
- وجود پردازشهای ناشناس یا مشکوک در پسزمینه سیستم: بدافزارهای مرتبط با Cryptojacking معمولاً تلاش میکنند با پنهان شدن در میان فرآیندهای عادی سیستم از شناسایی توسط کاربر یا نرمافزارهای امنیتی جلوگیری کنند. با این حال، در صورت مشاهده پردازشهایی با نامهای ناشناخته، رفتار غیرمعمول، یا مصرف بالای منابع سیستم، به ویژه اگر منشأ آنها برای شما مشخص نباشد، احتمال آلودگی سیستم وجود دارد و بررسی دقیقتر ضروری است.
چگونه از خود در برابر حملات Cryptojacking محافظت کنیم؟
- استفاده از یک نرمافزار امنیتی کامل و به روز: نخستین و مهمترین اقدام برای محافظت از سیستم در برابر تهدیداتی مانند cryptojacking، نصب و استفاده از یک نرمافزار امنیتی کامل، مطمئن و به روز است. این نوع نرمافزارها با بهرهگیری از فناوریهای پیشرفته، میتوانند انواع بدافزارها، اسکریپتهای پنهان استخراج رمزارز، فایلهای مشکوک و رفتارهای غیرعادی در سیستم را به طور خودکار شناسایی و مسدود کنند.
- همواره سیستم و برنامهها را به روز نگه دارید: تهدیدهای جدید معمولا از ضعفهای امنیتی نرمافزارها بهرهبرداری میکنند. نصب سریع به روزرسانیها و پچهای امنیتی سیستمعامل، مرورگرها، افزونهها و سایر برنامهها، احتمال نفوذ مهاجمان را بسیار کاهش میدهد.
- آگاهی از جدیدترین روندها و تکنیکهای حمله: مجرمان سایبری به سرعت روشهای خود را تغییر میدهند و از روشهای نوین برای پنهان کردن حملات استفاده میکنند. پیگیری اخبار امنیتی و آشنایی با روندهای جدید کمک میکند تا در برابر حملات cryptojacking و سایر تهدیدات آمادهتر باشید.
- استفاده از افزونههای مرورگر برای مسدودسازی cryptojacking: یکی از روشهای مؤثر و در عین حال ساده برای جلوگیری از cryptojacking، استفاده از افزونههای تخصصی مرورگر است که به طور خاص برای شناسایی و مسدودسازی اسکریپتهای مخرب استخراج رمزارز طراحی شدهاند. افزونههایی مانند minerBlock، No Coin و Anti Miner به صورت مستقیم مرورگر را بررسی کرده و از اجرای کدهای مشکوک یا مخفی در پسزمینه صفحات وب جلوگیری میکنند. این افزونهها بدون نیاز به دانش فنی خاص، به راحتی روی مرورگرهای محبوب مانند Chrome و Firefox نصب میشوند.
- نصب ابزارهای مسدود کننده تبلیغات (Ad Blockers): بسیاری از اسکریپتهای مربوط به cryptojacking از طریق تبلیغات آنلاین آلوده در وبسایتها اجرا میشوند. به همین دلیل، استفاده از ابزارهای مسدود کننده تبلیغات مانند AdBlock Plus میتواند نقش مهمی در کاهش ریسک این نوع حملات داشته باشد. این ابزارها نه تنها تبلیغات مزاحم را حذف میکنند، بلکه توانایی شناسایی و مسدودسازی کدهای مخرب پنهان شده در تبلیغات را نیز دارند.
- غیرفعال کردن جاوا اسکریپت در مرورگر: یکی از روشهای رایج حمله، اجرای اسکریپتهای استخراج رمزارز از طریق جاوا اسکریپت است. غیرفعال کردن جاوا اسکریپت به طور کلی میتواند از اجرای این اسکریپتها جلوگیری کند. البته این کار ممکن است باعث شود برخی سایتها درست کار نکنند، پس باید با احتیاط و در مواقع ضروری این گزینه را فعال یا غیرفعال کنید.
- فعال کردن فایروال و سیستم نظارت بر ترافیک شبکه: فایروالها میتوانند ارتباطات غیرمجاز با سرورهای استخراج رمزارز را شناسایی و مسدود کنند. همچنین، با استفاده از ابزارهای تحلیل ترافیک شبکه میتوان فعالیتهای مشکوک و غیرعادی را بررسی کرده و به موقع اقدامات لازم را انجام داد.
- کنترل دقیق فعالیتهای PowerShell و اسکریپتهای سیستم: به دلیل اینکه بسیاری از بدافزارهای cryptojacking از اسکریپتهایfileless malware استفاده میکنند، نظارت بر اجرای دستورات PowerShell و بررسی دقیق فعالیتهای آن میتواند به شناسایی این حملات کمک کند.
- آموزش کارکنان: افزایش آگاهی کاربران و کارکنان سازمانها درباره خطرات ناشی از حملات Cryptojacking، روشهای شناسایی این تهدیدات و راهکارهای مقابله با آنها، یکی از مهمترین و مؤثرترین گامها در پیشگیری از این نوع حملات است. یک تیم هوشیار و آموزش دیده میتواند با تشخیص به موقع این حملات، از نفوذ گستردهتر و آسیبهای احتمالی به زیرساختهای سازمان جلوگیری کند و امنیت کلی شبکه را به طور قابل توجهی بهبود بخشد.
