Kryptokaappaus ja sen torjunta
Välipakka, Antti (2022)
Välipakka, Antti
2022
Tietotekniikan DI-ohjelma - Master's Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2022-04-08
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202203122494
https://urn.fi/URN:NBN:fi:tuni-202203122494
Tiivistelmä
Tämän diplomityön tavoitteena oli selvittää kryptokaappausten eri variaatioiden toimintamallit ja miten näiltä variaatioilta suojaudutaan. Työ tehtiin kirjallisuuskatsauksena. Pääsääntöisesti tietoa haettiin Tampereen yliopiston tarjoamalla Andor-hakupalvelulla. Lähteiksi valikoitui tieteellisiä artikkeleita ja tutkimuksia. Muutama lähde haettiin eri tietoturvayhtiöiden nettisivuilta. Nämä lähteet olivat esimerkiksi tietoturvayhtiöiden koostamia vuosiraportteja haittaohjelmista. Tiedonhakumenetelmänä käytettiin helmenkasvatusmenetelmää.
Kryptokaappaus tarkoittaa tilannetta, jossa hyökkääjä ottaa luvattomasti uhrinsa laitteen haltuunsa ja alkaa louhia valitsemaansa kryptovaluuttaa alustalla ilman laitteen omistajan lupaa. Kryptokaappauksissa suositaan yleensä kryptovaluutta Moneroa sen tarjoaman vahvan anonymiteetin takia. Kryptokaappauksen yhteydessä hyökkääjän on mahdollista asentaa kaapatulle alustalle muitakin haittaohjelmia, asentaa takaovi myöhempää käyttöä varten ja varastaa tietoa. Varsinkin yrityskohteissa tiedon joutuminen vääriin käsiin on vaarallista.
Kryptokaappaukset voidaan jakaa kahteen kategoriaan: tiedostopohjaisiin ja selainpohjaisiin. Tiedostopohjaisessa kryptokaappauksessa uhri huijataan asentamaan kryptolouhijan sisältävä tiedosto tai tiedosto ujutetaan uhrin laitteelle jotakin tietoturva-aukkoa hyödyntäen. Selainpohjainen kryptokaappaus tapahtuu nimensä mukaisesti nettiselaimessa. Selainpohjainen kryptokaappaus tapahtuu, kun uhri vierailee kryptolouhijan sisältävällä nettisivulla.
Kryptokaappauksista aiheutuvia haittoja ovat prosessorin kulutus, laitteiston mahdollinen hajoaminen, kaappauksen yhteydessä tulevat muut haittaohjelmat ja tiedon varastaminen. Prosessorin kulutus ilmenee siten, että laite toimii hitaasti tai pahimmassa tapauksessa laitteen suorituskyky romahtaa ja tekee laitteen käyttökelvottomaksi. Laitteiston hajoaminen koskee lähinnä älypuhelimia, jotka ovat haavoittuvaisia selainpohjaisille kryptokaappauksille. Tiedostopohjaisissa kryptokaappauksissa on helppo ujuttaa muita haittaohjelmia kryptolouhijan lisäksi.
Kryptokaappauksilta suojautumiseen on useita tapoja. Tärkein tapa on tietoturvavalppaus, jolla estetään hyökkäystä tapahtumasta. Tehokkainkaan suojautumismekanismi ei estä kryptokaappauksia ja muita haittaohjelmia, jos laitteen käyttäjän tietoturvavalppaus ei ole ajan tasalla. Kryptokaappauksen tapahduttua tarvitaan muita suojautumiskeinoja, kuten esimerkiksi mustalistaukseen perustuva havainnointi, jota voidaan hyödyntää myös nettiselainten selainlaajennuksissa. Laitteen verkkoliikennettä ja suorituskykyä voidaan myös analysoida ja tutkia kryptokaappausten havainnoimiseksi. Pilvipalveluille, jotka ovat otollisia kohteita kryptokaappauksille niiden lähes rajattomien resurssien takia, on olemassa nimenomaan pilvipalveluille suunniteltuja suojausmekanismeja ja -työkaluja. Tällaisia työkaluja ovat esimerkiksi RADS ja MineGuard. Yksityishenkilöiden laitteita voidaan suojata joissakin määrin perinteisillä virustentorjuntaohjelmistoilla, mutta niillä on omat rajoitteensa kryptolouhijoiden ja muiden haittaohjelmien käyttämän hämäännyttämisen takia.
Työn tuloksena huomattiin, että kryptokaappaukset ovat jatkuvasti kehittyvä uhka ja että ne aiheuttavat huomattavia kuluja varastaessaan kaappaamansa alustan laskentatehoa. Kulut nousevat isoiksi varsinkin pilvipalvelualustoilla. Yrityskohteissa tiedon varastaminen kryptokaappauksen ohella on myös iso riski.
Kryptokaappaus tarkoittaa tilannetta, jossa hyökkääjä ottaa luvattomasti uhrinsa laitteen haltuunsa ja alkaa louhia valitsemaansa kryptovaluuttaa alustalla ilman laitteen omistajan lupaa. Kryptokaappauksissa suositaan yleensä kryptovaluutta Moneroa sen tarjoaman vahvan anonymiteetin takia. Kryptokaappauksen yhteydessä hyökkääjän on mahdollista asentaa kaapatulle alustalle muitakin haittaohjelmia, asentaa takaovi myöhempää käyttöä varten ja varastaa tietoa. Varsinkin yrityskohteissa tiedon joutuminen vääriin käsiin on vaarallista.
Kryptokaappaukset voidaan jakaa kahteen kategoriaan: tiedostopohjaisiin ja selainpohjaisiin. Tiedostopohjaisessa kryptokaappauksessa uhri huijataan asentamaan kryptolouhijan sisältävä tiedosto tai tiedosto ujutetaan uhrin laitteelle jotakin tietoturva-aukkoa hyödyntäen. Selainpohjainen kryptokaappaus tapahtuu nimensä mukaisesti nettiselaimessa. Selainpohjainen kryptokaappaus tapahtuu, kun uhri vierailee kryptolouhijan sisältävällä nettisivulla.
Kryptokaappauksista aiheutuvia haittoja ovat prosessorin kulutus, laitteiston mahdollinen hajoaminen, kaappauksen yhteydessä tulevat muut haittaohjelmat ja tiedon varastaminen. Prosessorin kulutus ilmenee siten, että laite toimii hitaasti tai pahimmassa tapauksessa laitteen suorituskyky romahtaa ja tekee laitteen käyttökelvottomaksi. Laitteiston hajoaminen koskee lähinnä älypuhelimia, jotka ovat haavoittuvaisia selainpohjaisille kryptokaappauksille. Tiedostopohjaisissa kryptokaappauksissa on helppo ujuttaa muita haittaohjelmia kryptolouhijan lisäksi.
Kryptokaappauksilta suojautumiseen on useita tapoja. Tärkein tapa on tietoturvavalppaus, jolla estetään hyökkäystä tapahtumasta. Tehokkainkaan suojautumismekanismi ei estä kryptokaappauksia ja muita haittaohjelmia, jos laitteen käyttäjän tietoturvavalppaus ei ole ajan tasalla. Kryptokaappauksen tapahduttua tarvitaan muita suojautumiskeinoja, kuten esimerkiksi mustalistaukseen perustuva havainnointi, jota voidaan hyödyntää myös nettiselainten selainlaajennuksissa. Laitteen verkkoliikennettä ja suorituskykyä voidaan myös analysoida ja tutkia kryptokaappausten havainnoimiseksi. Pilvipalveluille, jotka ovat otollisia kohteita kryptokaappauksille niiden lähes rajattomien resurssien takia, on olemassa nimenomaan pilvipalveluille suunniteltuja suojausmekanismeja ja -työkaluja. Tällaisia työkaluja ovat esimerkiksi RADS ja MineGuard. Yksityishenkilöiden laitteita voidaan suojata joissakin määrin perinteisillä virustentorjuntaohjelmistoilla, mutta niillä on omat rajoitteensa kryptolouhijoiden ja muiden haittaohjelmien käyttämän hämäännyttämisen takia.
Työn tuloksena huomattiin, että kryptokaappaukset ovat jatkuvasti kehittyvä uhka ja että ne aiheuttavat huomattavia kuluja varastaessaan kaappaamansa alustan laskentatehoa. Kulut nousevat isoiksi varsinkin pilvipalvelualustoilla. Yrityskohteissa tiedon varastaminen kryptokaappauksen ohella on myös iso riski.