 |
UDV Group: поиск скрытых майнеров в сети предприятия - анализ трафика и нагрузок
Михаил Пырьев, менеджер продукта UDV NTA, объяснил, почему сетевой анализ надёжнее агентов: майнеры скрываются на хосте, но выдают себя в сети. Рассказал о ключевых сетевых признаках: длительные сессии с пулами Monero, стабильная повторяемость трафика, аномалии TTL/RTT, DGA-домены. Что даёт сетевой анализ: под наблюдением оказываются сразу тысячи устройств.
Создатели вредоносных майнеров в большинстве случаев сосредоточены на сокрытии присутствия на конечном хосте, а не в сети. Именно поэтому сетевой анализ часто оказывается более надёжным и масштабируемым способом их выявления, особенно в крупных инфраструктурах.
С точки зрения сети скрытый майнинг, как правило, проявляется через устойчивый набор признаков: длительные сессии с майнинг-пулами конкретных криптовалют (наиболее часто Monero или Bitcoin), характерную структуру трафика с малыми объёмами данных, стабильной частотой отправки пакетов и высокой повторяемостью, а также нетипичные значения TTL и рост RTT. Дополнительно настораживают обращения к доменам, сгенерированным DGA-алгоритмами, и инфраструктуре, не характерной для бизнес-процессов организации.
Выявление майнинга по аномалиям загрузки CPU/GPU или энергопотребления с помощью агентных средств возможно, но на практике имеет ограничения. Установка агентов доступна не всегда, часть узлов может быть не охвачена мониторингом, а сама по себе повышенная нагрузка не всегда однозначно указывает на вредоносную активность – она может быть следствием изменений в рабочих процессах или конфигурации. Анализ сети в этом смысле даёт преимущество: под наблюдением оказываются сразу тысячи устройств, а признаки вредоносной активности фиксируются до того, как происходит заметное потребление ресурсов.
Скрытый майнинг условно делится на браузерный и хостовой. Браузерные варианты (например, Coinhive-подобные скрипты) используют HTTPS и WebSocket-соединения с backend-пулами и внешне могут напоминать обычную пользовательскую активность. Хостовые майнеры чаще маскируются под легитимные сервисы или облачную инфраструктуру, чтобы обойти межсетевые экраны и не выделяться на уровне сетевых политик. Однако ключевое отличие остаётся: поведение программы детерминировано и повторяемо, в то время как пользовательский трафик значительно менее предсказуем.
NDR/NTA-решения, анализирующие копию сетевого трафика, позволяют выявлять как отдельные признаки, так и устойчивые поведенческие закономерности, в том числе с использованием ретроспективного анализа. В связке с SIEM это даёт наибольшую практическую ценность: корреляция сетевых детектов с событиями хостового мониторинга и телеметрии позволяет формировать обоснованные инциденты ИБ, подтверждённые как внешним поведением узла, так и его внутренним состоянием.
На практике майнинг часто остаётся незамеченным месяцами из-за нехватки данных для принятия решений, опоры только на IoC или сигнатуры, либо недооценки самой угрозы. При этом важно учитывать, что кража вычислительных ресурсов нередко является лишь первым этапом – по тем же каналам в дальнейшем может осуществляться и компрометация данных.
Контактное лицо: UDV Group (написать письмо автору)
Компания: UDV Group (все новости этой организации)
Добавлен: 00:11, 09.05.2026
Количество просмотров: 778
Страна: Россия
| Axenix: крупный бизнес в России меняет подход к ERP, Axenix, 22:06, 03.06.2026, Россия |
246 |
| Крупный бизнес больше не рассматривает замену зарубежных ERP-систем как формальную ИТ-задачу. Компании реального сектора связывают такие проекты с устойчивостью операционной модели, управляемостью данных и снижением зависимости от зарубежной ИТ-инфраструктуры. |
 |
| БФТ-Холдинг внедрил платформу КЭДО в МГТУ им. Н.Э. Баумана, HRlink, 22:05, 03.06.2026, Россия |
237 |
| БФТ-Холдинг совместно с технологическим партнёром – компанией HRlink – реализовал проект по внедрению системы кадрового электронного документооборота (КЭДО) в Московском государственном техническом университете им. Н.Э. Баумана. |
|
| «Цифровой управленец» в ритейле: от отчётов к действиям на полях ПМЭФ, Платформа ОФД, 22:02, 03.06.2026, Россия |
249 |
| 2 июня в Санкт-Петербурге, в рамках III Международного форума «ИИ – будущее сегодня», прошла сессия «Цифровой управленец в ритейле: большие данные и ИИ-аналитика меняют рынок». Эксперты разобрали, почему при 85% внедрений ИИ в ритейле реальную пользу получают не все. |
|
|
|
