Cryptojacking Defense: আপনার সার্ভার ব্যবহার করে হ্যাকারদের ক্রিপ্টো মাইনিং প্রতিরোধ!

Cryptojacking হলো এমন একটি সাইবার আক্রমণ যেখানে আক্রমণকারীরা ভিকটিমের কম্পিউটিং রিসোর্স - অর্থাৎ CPU, GPU এবং বিদ্যুৎ - অননুমোদিতভাবে ব্যবহার করে ক্রিপ্টোকারেন্সি মাইনিং করেন। মাইনিং প্রক্রিয়ায় জটিল গাণিতিক সমস্যা সমাধান করতে হয় যা প্রচুর কম্পিউটেশনাল শক্তি দাবি করে। সাধারণ মাইনার নিজের হার্ডওয়্যার এবং বিদ্যুৎ ব্যবহার করেন, কিন্তু একজন Cryptojacker অন্যের রিসোর্স ব্যবহার করে লাভ পান, তাই খরচ শূন্য এবং মুনাফা পুরোটাই তার।

Cryptojacking-এর দুটি প্রধান রূপ রয়েছে। প্রথমটি হলো Browser-Based Cryptojacking যেখানে আক্রমণকারীরা ম্যালিশাস JavaScript কোড ওয়েবসাইটে স্থাপন করে। যখন কেউ সেই সাইট ভিজিট করেন, ব্রাউজার সেই কোড চালায় এবং ভিজিটরের অজান্তে মাইনিং শুরু করে। Coinhive ছিল এই ক্ষেত্রে কুখ্যাত একটি সেবা যা ২০১৭ থেকে ২০১৯ পর্যন্ত হাজার হাজার ওয়েবসাইটে অপব্যবহৃত হয়েছিল। যদিও Coinhive বন্ধ হয়েছে, অনুরূপ সেবা এবং কাস্টম স্ক্রিপ্ট এখনও সক্রিয়।

দ্বিতীয় রূপ হলো Host-Based Cryptojacking যেখানে ম্যালওয়্যার সরাসরি সিস্টেমে ইনস্টল হয় এবং চলতে থাকে। এটি আরও বিপজ্জনক কারণ এটি ব্রাউজার বন্ধ করলেও চলতে থাকে এবং সিস্টেম রিবুট হলেও স্বয়ংক্রিয়ভাবে শুরু হয়। XMRig, NiceHash এবং বিভিন্ন কাস্টম ভেরিয়েন্ট এই ক্ষেত্রে সবচেয়ে বেশি দেখা যায়।

মাইনিংয়ের জন্য Monero এবং অন্যান্য Privacy Coin আক্রমণকারীদের প্রিয় কারণ এগুলোর লেনদেন ট্রেস করা কঠিন এবং CPU দিয়েই দক্ষতার সাথে মাইন করা যায়। Bitcoin মাইনিংয়ের জন্য ASIC প্রয়োজন যা সাধারণ সার্ভারে চলে না, তাই Cryptojackers Monero বেছে নেন।

Cryptojacking আক্রমণের পদ্ধতি অত্যন্ত বৈচিত্র্যময়। সবচেয়ে সাধারণ ভেক্টর হলো ক্লাউড ইনস্ট্যান্সে দুর্বল কনফিগারেশনের সুযোগ নেওয়া। উন্মুক্ত Docker API, Kubernetes ড্যাশবোর্ড, Redis সার্ভার এবং MongoDB ইনস্ট্যান্স প্রায়শই ইন্টারনেটে উন্মুক্ত থাকে। আক্রমণকারীরা Shodan-এর মতো সার্চ ইঞ্জিন ব্যবহার করে এগুলো খুঁজে বের করে স্বয়ংক্রিয়ভাবে মাইনিং কন্টেইনার ডিপ্লয় করেন।

ফিশিং ইমেইলের মাধ্যমেও Cryptojacking ম্যালওয়্যার বিতরণ করা হয়। সাধারণ ইনভয়েস, রেজিউমে বা ডকুমেন্টের ছদ্মবেশে আসা ফাইল খুললেই সিস্টেমে মাইনার ইনস্টল হয়ে যায়। সাপ্লাই চেইন আক্রমণের মাধ্যমেও Cryptojacking ছড়ানো হয়। npm, PyPI এবং অন্যান্য প্যাকেজ ম্যানেজারে ম্যালিশাস প্যাকেজ আপলোড করে আক্রমণকারীরা ডেভেলপারদের সিস্টেম কম্প্রোমাইজ করেন। ২০২১ সালে UAParser.js প্যাকেজে এই ধরনের আক্রমণ হয়েছিল যা লক্ষ লক্ষ ডেভেলপার এনভায়রনমেন্টকে প্রভাবিত করে।

ওয়েব অ্যাপ্লিকেশনের দুর্বলতা যেমন SQL Injection, RCE এবং Unrestricted File Upload-এর মাধ্যমেও Cryptojacking ম্যালওয়্যার ডিপ্লয় করা হয়। বিশেষত WordPress, Drupal এবং Joomla-এর পুরনো সংস্করণ এবং অজানা প্লাগইন এই ধরনের আক্রমণের প্রধান লক্ষ্য। Log4Shell দুর্বলতা প্রকাশের পর হাজার হাজার সার্ভারে Cryptojacking ম্যালওয়্যার ডিপ্লয় করা হয়েছিল।

GitHub Actions এবং অন্যান্য CI/CD প্ল্যাটফর্মেরও অপব্যবহার বাড়ছে। আক্রমণকারীরা পাবলিক রিপোজিটরিতে ফর্ক করে ম্যালিশাস ওয়ার্কফ্লো যুক্ত করেন যা GitHub-এর ফ্রি কম্পিউটিং রিসোর্স ব্যবহার করে মাইনিং করে। GitHub এই ধরনের অপব্যবহার বন্ধে কঠোর ব্যবস্থা নিচ্ছে, কিন্তু আক্রমণকারীরা প্রতিনিয়ত নতুন কৌশল উদ্ভাবন করছেন।

Cryptojacking শনাক্তকরণ বিশেষত চ্যালেঞ্জিং কারণ এটি ডেটা চুরি বা সিস্টেম ক্ষতি করে না, শুধু রিসোর্স ব্যবহার করে। তবুও বেশ কয়েকটি কার্যকর শনাক্তকরণ পদ্ধতি রয়েছে। সবচেয়ে স্পষ্ট সংকেত হলো অস্বাভাবিক CPU ব্যবহার। যদি কোনো সার্ভার সাধারণত ২০% CPU ব্যবহার করে কিন্তু হঠাৎ ৯০% বা ১০০%-এ পৌঁছায় এবং সেটি কোনো বৈধ ওয়ার্কলোডের কারণে না হয়, তাহলে সেটি সন্দেহজনক।

ক্লাউড পরিবেশে অস্বাভাবিকভাবে বেড়ে যাওয়া বিল একটি গুরুত্বপূর্ণ সংকেত। AWS, Azure এবং GCP-তে স্বয়ংক্রিয় বিলিং অ্যালার্ট সেট করা উচিত। যদি মাসিক খরচ আকস্মিকভাবে দ্বিগুণ হয়ে যায়, তাহলে অবিলম্বে তদন্ত প্রয়োজন। বিশেষত GPU-যুক্ত ইনস্ট্যান্স পরীক্ষা করুন কারণ এগুলো মাইনিংয়ের প্রিয় লক্ষ্য।

নেটওয়ার্ক ট্রাফিক বিশ্লেষণও কার্যকর। Cryptojacking ম্যালওয়্যার সাধারণত মাইনিং পুলের সাথে সংযোগ স্থাপন করে। xmrpool.eu, supportxmr.com, nanopool.org এবং monerooceans.streamর মতো জনপ্রিয় Monero পুলের সাথে সংযোগ একটি স্পষ্ট সংকেত। কর্পোরেট ফায়ারওয়ালে এই ডোমেইনগুলো ব্লক করা এবং DNS লগে অনুসন্ধান করা উচিত।

প্রক্রিয়া পর্যবেক্ষণ আরেকটি গুরুত্বপূর্ণ স্তর। XMRig, Minerd, CGMiner-এর মতো পরিচিত মাইনিং প্রসেস খুঁজে বের করুন। তবে আধুনিক ম্যালওয়্যার প্রায়শই প্রসেসের নাম পরিবর্তন করে systemd, kworker বা rsyslog-এর মতো সিস্টেম প্রসেসের ছদ্মবেশ নেয়। তাই কেবল নামের উপর নির্ভর না করে প্রসেসের আচরণ, CPU ব্যবহার এবং নেটওয়ার্ক সংযোগ একসাথে বিশ্লেষণ করুন।

এন্ডপয়েন্ট পর্যায়ে EDR সমাধান ব্যবহার করুন যা প্রসেস ইনজেকশন, persistence mechanism এবং সন্দেহজনক ফাইল অপারেশন শনাক্ত করতে পারে। CrowdStrike, SentinelOne, Microsoft Defender for Endpoint-এর মতো সমাধান Cryptojacking ম্যালওয়্যার শনাক্তকরণে কার্যকর।

ক্লাউড পরিবেশে Cryptojacking-এর প্রভাব বিশেষভাবে গুরুতর। যেহেতু ক্লাউড রিসোর্স সাধারণত ব্যবহারের ভিত্তিতে বিল করা হয়, একজন আক্রমণকারী যদি আপনার ক্লাউড অ্যাকাউন্টে প্রবেশ করতে পারেন, তাহলে মাত্র কয়েক ঘণ্টায় হাজার হাজার ডলারের বিল তৈরি করতে পারেন। AWS-এ p3 এবং p4 ইনস্ট্যান্স যেগুলো GPU-যুক্ত সেগুলো আক্রমণকারীদের প্রধান লক্ষ্য।

ক্লাউড পরিবেশে Cryptojacking প্রায়ই IAM ক্রেডেনশিয়াল চুরি বা ভুল কনফিগার করা পলিসির মাধ্যমে শুরু হয়। GitHub-এ accidentally পুশ করা AWS Access Key বট দ্বারা মিনিটের মধ্যে স্ক্যান করা হয় এবং দ্রুত ব্যবহার করা হয়। এজন্য GitHub Secret Scanning এবং similar tool ব্যবহার করে ক্রেডেনশিয়াল লিক প্রতিরোধ করা অত্যন্ত গুরুত্বপূর্ণ।

Kubernetes পরিবেশে Cryptojacking একটি বিশেষ চ্যালেঞ্জ। উন্মুক্ত Kubernetes Dashboard, দুর্বল কনফিগার করা RBAC এবং উন্মুক্ত etcd সার্ভার - সবগুলোই আক্রমণের সুযোগ তৈরি করে। ২০১৮ সালে Tesla-র Kubernetes ক্লাস্টার এই ভাবেই কম্প্রোমাইজ হয়েছিল যেখানে আক্রমণকারীরা সংস্থার গাড়ির টেলিমেট্রি ডেটা পরিচালনাকারী ক্লাস্টারে Monero মাইনিং চালিয়েছিল।

Container-Based Cryptojacking-এর জন্য বিশেষ সমাধান প্রয়োজন। Falco, Aqua Security, Sysdig-এর মতো container security টুল সন্দেহজনক container আচরণ শনাক্ত করতে পারে। Image scanning দ্বারা mining টুল ধারণকারী image সনাক্ত করা যায়। Runtime protection ব্যবহার করে অপ্রত্যাশিত প্রসেস সম্পাদন ব্লক করা যায়।

Cryptojacking প্রতিরোধের জন্য একটি বহুস্তরীয় পদ্ধতি প্রয়োজন। প্রথমত, সমস্ত সফটওয়্যার এবং সিস্টেম আপডেট রাখুন। অনেক Cryptojacking আক্রমণ পরিচিত দুর্বলতা ব্যবহার করে যেগুলোর প্যাচ ইতিমধ্যে উপলব্ধ। নিয়মিত ভালনারেবিলিটি স্ক্যানিং এবং প্যাচ ম্যানেজমেন্ট প্রক্রিয়া স্থাপন করুন।

দ্বিতীয়ত, Network Segmentation বাস্তবায়ন করুন। যদি একটি সার্ভার কম্প্রোমাইজ হয়, তাহলে যেন পার্শ্ববর্তী সিস্টেমে ছড়িয়ে পড়তে না পারে। বিশেষত production environment-কে development environment থেকে আলাদা রাখুন। তৃতীয়ত, Egress Filtering প্রয়োগ করুন। আউটবাউন্ড সংযোগ শুধুমাত্র প্রয়োজনীয় ডোমেইন এবং পোর্টের জন্য অনুমোদন করুন। পরিচিত মাইনিং পুল এবং ক্রিপ্টোকারেন্সি সম্পর্কিত ডোমেইন ব্লক করুন।

চতুর্থত, Cloud Workload Protection Platform বা CWPP মোতায়েন করুন। Prisma Cloud, Trend Micro Cloud One, AWS GuardDuty - এই সরঞ্জামগুলো ক্লাউড পরিবেশে অস্বাভাবিক কার্যকলাপ স্বয়ংক্রিয়ভাবে শনাক্ত করে। AWS GuardDuty বিশেষভাবে CryptoCurrency:EC2/BitcoinTool.B!DNS-এর মতো নির্দিষ্ট সনাক্তকরণ প্রদান করে।

পঞ্চমত, IAM পলিসি কঠোর করুন। Least Privilege নীতি অনুসরণ করুন এবং MFA বাধ্যতামূলক করুন। নিয়মিত অব্যবহৃত ক্রেডেনশিয়াল মুছে ফেলুন এবং long-lived access key এর পরিবর্তে temporary credentials ব্যবহার করুন।

ষষ্ঠত, ব্রাউজার-ভিত্তিক Cryptojacking থেকে রক্ষা পেতে uBlock Origin, NoCoin-এর মতো এক্সটেনশন ব্যবহার করুন। কর্পোরেট ব্রাউজার পলিসিতে JavaScript সীমিত করুন এবং Content Security Policy বাস্তবায়ন করুন।

সপ্তমত, billing alert এবং budget control সেট করুন। Cloud provider-এর budget alert ফিচার ব্যবহার করে অস্বাভাবিক ব্যয় তাৎক্ষণিকভাবে শনাক্ত করুন। CloudWatch, Azure Monitor এবং Cloud Billing API ব্যবহার করে স্বয়ংক্রিয় প্রতিক্রিয়া কনফিগার করুন।

অষ্টমত, Incident Response পরিকল্পনায় Cryptojacking-কে অন্তর্ভুক্ত করুন। একটি কম্প্রোমাইজড সিস্টেম শনাক্ত হলে কী করবেন তা পূর্বনির্ধারিত থাকা উচিত। সাধারণত আক্রান্ত ইনস্ট্যান্স আইসোলেট করা, ফরেনসিক ইমেজ তৈরি করা এবং রুট কজ বিশ্লেষণ করা প্রয়োজন।

২০১৮ সালে Tesla-র Kubernetes ক্লাস্টার Cryptojacking-এর শিকার হয় যা RedLock দ্বারা প্রকাশিত হয়। আক্রমণকারীরা উন্মুক্ত Kubernetes Dashboard ব্যবহার করে AWS ক্রেডেনশিয়াল চুরি করে এবং সেখান থেকে মাইনিং চালায়। তারা CPU ব্যবহার সীমিত রেখেছিল এবং mining pool-এর সাথে Cloudflare-এর মাধ্যমে যোগাযোগ করেছিল যাতে শনাক্ত করা কঠিন হয়।

২০২২ সালে Microsoft একটি বড় Cryptojacking ক্যাম্পেইন প্রকাশ করে যা GitHub Actions-কে অপব্যবহার করছিল। আক্রমণকারীরা পাবলিক রিপোজিটরিতে pull request পাঠাত যা ম্যালিশাস ওয়ার্কফ্লো চালু করত। GitHub পরবর্তীতে স্বয়ংক্রিয় শনাক্তকরণ এবং প্রতিরোধমূলক ব্যবস্থা চালু করেছে।

Docker Hub-এ Cryptojacking ম্যালওয়্যার ধারণকারী image পাওয়া যাওয়ার ঘটনাও বহুবার ঘটেছে। ২০২০ সালে Palo Alto Networks-এর Unit 42 দল Docker Hub-এ ৩০টিরও বেশি ম্যালিশাস image খুঁজে পায় যা সম্মিলিতভাবে ২ কোটিরও বেশিবার ডাউনলোড হয়েছিল।