Пресс-релизы //

UDV Group: поиск скрытых майнеров в сети предприятия - анализ трафика и нагрузок

Михаил Пырьев, менеджер продукта UDV NTA, объяснил, почему сетевой анализ надёжнее агентов: майнеры скрываются на хосте, но выдают себя в сети. Рассказал о ключевых сетевых признаках: длительные сессии с пулами Monero, стабильная повторяемость трафика, аномалии TTL/RTT, DGA-домены. Что даёт сетевой анализ: под наблюдением оказываются сразу тысячи устройств.

Создатели вредоносных майнеров в большинстве случаев сосредоточены на сокрытии присутствия на конечном хосте, а не в сети. Именно поэтому сетевой анализ часто оказывается более надёжным и масштабируемым способом их выявления, особенно в крупных инфраструктурах.

С точки зрения сети скрытый майнинг, как правило, проявляется через устойчивый набор признаков: длительные сессии с майнинг-пулами конкретных криптовалют (наиболее часто Monero или Bitcoin), характерную структуру трафика с малыми объёмами данных, стабильной частотой отправки пакетов и высокой повторяемостью, а также нетипичные значения TTL и рост RTT. Дополнительно настораживают обращения к доменам, сгенерированным DGA-алгоритмами, и инфраструктуре, не характерной для бизнес-процессов организации.

Выявление майнинга по аномалиям загрузки CPU/GPU или энергопотребления с помощью агентных средств возможно, но на практике имеет ограничения. Установка агентов доступна не всегда, часть узлов может быть не охвачена мониторингом, а сама по себе повышенная нагрузка не всегда однозначно указывает на вредоносную активность – она может быть следствием изменений в рабочих процессах или конфигурации. Анализ сети в этом смысле даёт преимущество: под наблюдением оказываются сразу тысячи устройств, а признаки вредоносной активности фиксируются до того, как происходит заметное потребление ресурсов.

Скрытый майнинг условно делится на браузерный и хостовой. Браузерные варианты (например, Coinhive-подобные скрипты) используют HTTPS и WebSocket-соединения с backend-пулами и внешне могут напоминать обычную пользовательскую активность. Хостовые майнеры чаще маскируются под легитимные сервисы или облачную инфраструктуру, чтобы обойти межсетевые экраны и не выделяться на уровне сетевых политик. Однако ключевое отличие остаётся: поведение программы детерминировано и повторяемо, в то время как пользовательский трафик значительно менее предсказуем.

NDR/NTA-решения, анализирующие копию сетевого трафика, позволяют выявлять как отдельные признаки, так и устойчивые поведенческие закономерности, в том числе с использованием ретроспективного анализа. В связке с SIEM это даёт наибольшую практическую ценность: корреляция сетевых детектов с событиями хостового мониторинга и телеметрии позволяет формировать обоснованные инциденты ИБ, подтверждённые как внешним поведением узла, так и его внутренним состоянием.

На практике майнинг часто остаётся незамеченным месяцами из-за нехватки данных для принятия решений, опоры только на IoC или сигнатуры, либо недооценки самой угрозы. При этом важно учитывать, что кража вычислительных ресурсов нередко является лишь первым этапом – по тем же каналам в дальнейшем может осуществляться и компрометация данных.

Контактное лицо: UDV Group
Компания: UDV Group
Добавлен: 23:48, 08.05.2026 Количество просмотров: 188
Страна: Россия

DатаРу представила новый сервер для задач развития искусственного интеллекта, ДатаРу, 16:12, 20.06.2026, Россия168
Российский вендор технологических решений и сервисов DатаРу выпустил на рынок новый сервер «ДатаРу XE9785», ориентированный на выполнение ресурсоемких задач в области искусственного интеллекта.

От разговоров об ИИ к практическому применению: как прошёл первый поток курса VAP: Применение ИИ в ITSM и ESM, Cleverics, 16:11, 20.06.2026, Россия183

В Cleverics подвели итоги первого потока курса по применению искусственного интеллекта в сервис-менеджменте. Ключевая задача программы заключалась не в обучении программированию, а в том, чтобы дать специалистам практический инструментарий для внедрения ИИ и ответить на главный вопрос бизнеса: «с чего начать и будет ли от этого толк».

МегаФон ускорит интернет на «Пикнике Афиши», МегаФон, 16:10, 20.06.2026, Россия168

Оператор обеспечит высокоскоростным мобильным интернетом десятки тысяч гостей фестиваля «Пикник Афиши», который пройдёт 20 июня в музее-заповеднике «Коломенское».

В МГППУ прошла кросс‑вузовская экспертиза в рамках реализации программы развития «Приоритет – 2030», Московский государственный психолого-педагогический университет, 15:37, 20.06.2026, Россия133
Стратегическая цель Университета направлена на достижение лидерства в области психолого-педагогического образования

Производительность труда и здоровье: от пилота к масштабированию!, Нобилис ООО, 16:07, 20.06.2026, Россия180
Ивановская область может стать инновационным регионом в автоматизации диспансеризации!

«ГИГАНТ — Компьютерные системы» о том, почему Drama RAT опасен не только для банковских счетов, ГИГАНТ, 15:57, 20.06.2026, Россия164

Эксперт «ГИГАНТ — Компьютерные системы» объяснил, как Drama RAT получает контроль над смартфоном, почему его сложно обнаружить статическим анализом и чем заражение личного телефона может угрожать компании

«1С-Рарус» в Нижнем Новгороде подтвердил статус «Центр сопровождения 1С», 1С-Рарус, 15:56, 20.06.2026, Россия173

По результатам аудита нижегородский офис «1С‑Рарус» подтвердил статус «Центр сопровождения программ и информационных продуктов фирмы „1С“». Клиенты «1С-Рарус» получают рекомендованный фирмой «1С» уровень сервиса: регулярные обновления, консультации и поддержку по программам «1С:Предприятие» и сервисам 1С:ИТС.

ЯрПАПА шагает по стране 2026, АНО "Содружество семей", 15:56, 20.06.2026, Россия164

Автономная некоммерческая организация «Содружество семей» совместно с Региональным отделением Всероссийского общественного движения «ОТЦЫ РОССИИ» Ярославской области объявляют о начале приема заявок на участие во Всероссийском конкурсе семейных видеороликов «ЯрПАПА шагает по стране-2026».

Платформа Optimacros представлена на карте CNews Analytics «Импортозамещение в банках 2026», ООО "Оптимакрос", 15:51, 20.06.2026, Россия168

Агентство CNews Analytics выпустило обновленную инфографику «Импортозамещение в банках 2026» и включило CPM/IBP-платформу Optimacros в раздел «Управление ликвидностью, казначейством и бюджетирование».

«Выберу.ру»: накопительный счёт МТС Банка — лидер рейтинга в июне 2026 года, Финансовый маркетплейс "Выберу.ру", 15:51, 20.06.2026, Россия159
МТС Банк возглавил рейтинг крупнейших банков страны по итогам исследования «Выберу.ру» «Лучшие накопительные счета в июне 2026 года».

Space расширяет региональное присутствие: в Самаре открылся новый офис компании, ДАКОМ М, 15:50, 20.06.2026, Россия164
«ДАКОМ М» (бренд Space), российский разработчик программного обеспечения и R&D-центр, открыл новый офис в Самаре.

ТЦ «Муравей» приглашает на дегустацию летних новинок от кофе-бара «Кофелайк», тц муравей, 15:49, 20.06.2026, Россия65

Торговый центр «Муравей» продолжает радовать посетителей яркими событиями и гастрономическими открытиями!

GreenData подключила ИИ-ассистентов к корпоративным системам через MCP, GreenData, 15:47, 20.06.2026, Россия67

GreenData расширила возможности конструктора корпоративных ИИ-ассистентов GreenBox. Конструктор GreenBox теперь позволяет работать с Jira, GitLab и другими внешними сервисами, а также запускать процессы и создавать объекты непосредственно в low-code платформе.

Minervasoft назвала пять ошибок в работе с корпоративными знаниями при внедрении ИИ-ассистентов, Minervasoft, 15:47, 20.06.2026, Россия65

Более 80% компаний среди крупного и среднего бизнеса допускают критичные ошибки в работе с корпоративными знаниями. Это приводит к увеличению нагрузки на сотрудников и становится стоп-фактором при внедрении ИИ-ассистентов, следует из результатов проведенных Minervasoft аудитов.

«Первый Бит» развернул защищенную BI-аналитику в закрытом контуре машиностроительной компании «Диполь», Первый Бит, 15:46, 20.06.2026, Россия67
Время подготовки отчетности сократилось с 1-2 дней до 10-15 минут, а бизнес-пользователи стали на 60% чаще выводить нужные отчеты самостоятельно.