Как обнаружить крипто майнинг в организации?

Одним из последствий вредоносной активности может служить установка приложений для майнинга на взломанные ресурсы компании. К тому же, установка таких программ может быть выполнена сотрудниками организации, которые решили воспользоваться преимуществом бесплатных ресурсов, что обычно запрещено политикой информационной безопасности.

Так, как все-таки мы можем обнаружить подобную активность по неправомерному использованию ресурсов с помомощью техники (https://attack.mitre.org/techniques/T1496/) MITRE ATT&CK, относящихся к майнингу? 

Определить такую активность можно благодаря монитрингу коммуникацииям по нестандартным портам, например,  3333, 4444, 5555, 6666, 7777, 8888, 9999, а так же благодаря репутации IP или URL адресов, относящихся к криптовалютным хостам. Так что Вы можете использовать логи и потоки (flows) из таких систем как  веб прокси, межсетевой экран, балансировщик нагрузки, IDS/IPS, NetFlow, логи DNS, журнал приложений, и события безопасности для определения майнинга.

В МегаМон можно воспользоваться следующими запросами:

lookupKeyExists(“sec-port-cryptomining”, {“Port”: serverPort }) или lookupKeyExists(“sec-port-cryptomining”, {“Port”: clientPort })

Рис 1. Поиск портов, которые относятся к майнингу

Рис 2. Анализ потенциальной крипто майнинговой активности

Как видите, обнаружить такой тип активности довольно просто, особенно если у Вас есть правильный инструмент.