حمله رمزارز یا کریپتوجکینگ چیست و چگونه انجام می‌شود؟

کریپتوجکینگ چیست؟

رمزنگاری مخرب (Cryptojacking) به معنای سوء استفاده از کامپیوترها و تجهیزات هوشمند افراد برای استخراج رمز ارز است. هکرها برای پیاده‌سازی این حمله، لینک مخربی را از طریق ایمیل یا شبکه‌های اجتماعی برای افراد ارسال می‌کنند. هنگامی که قربانی روی لینک مخرب کلیک می‌کند کدهای مربوط به استخراج رمزارز در قالب یک فایل اسکریپتی روی کامپیوتر او ذخیره شده و توسط مرورگر اجرا می‌شوند. روش دیگری که هکرها از آن استفاده می‌کنند وب‌سایت یا تبلیغ آنلاینی است که آلوده به کدهای جاوااسکریپت مخرب است. این کدها به شکل خودکار در مرورگر کاربرانی که سایت یا تبلیغ را مشاهده می‌کنند بارگذاری و اجرا می‌شوند. کدهای رمزنگاری مخرب پس از آلوده‌سازی یک سامانه، بدون اطلاع قربانی روی کامپیوتر او اجرا می‌شوند. تنها نشانه‌ای که ممکن است فرد مشاهده کند کاهش سرعت سیستم یا تاخیر در اجرای برنامه‌ها است. 

کریپتوجکینگ چگونه کار می‌کند؟

هکرها از دو روش برای استخراج پنهانی رمزارزها استفاده می‌کنند. در روش اول که کریپتوماینینگ (Cryptomining) نام دارد و مبتنی بر حمله‌های فیشینگ است، کدهای مخرب در سامانه قربانی بارگذاری و اجرا می‌شوند. در این روش قربانی ایمیل به ظاهر سالم و قانونی را دریافت می‌کند که او را تشویق به کلیک روی لینک دیگری می‌کند. هنگامی که کاربر روی لینک آلوده کلیک می‌کند، کد استخراج رمزارز در سامانه قربانی بارگذاری و اجرا می‌شود. در روش دوم، کد مخرب به شکل پنهانی یا در قالب یک آگهی تبلیغاتی معتبر در یک سایت بارگذاری می‌شود. هنگامی که قربانی از سایت آلوده بازدید کند یا تبلیغ آلوده را در مرورگر خود مشاهده کند، کد مخرب به شکل خودکار اجرا می‌شود. این کدها از طریق فرآیندهای پیچیده محاسباتی روی سامانه قربانی اجرا می‌شوند و توسط سرورهایی که تحت کنترل هکرها است مدیریت می‌شوند. به‌طور معمول، هکرها برای آن‌که اثربخشی این حمله‌ها را بیشتر کنند از هر دو روش استفاده می‌کنند. آلکس وی‌استیچ مدیر ارشد فناوری اطلاعات شرکت SecBI می‌گوید: «هکرها از همان بردارهای حمله قدیمی برای انتقال نرم‌افزارهای به ظاهر سالم و مطمئن روی سامانه قربانیان استفاده می‌کنند. به‌طور مثال، از بین 100 دستگاهی که اقدام به استخراج رمزارز برای هکرها می‌کنند، ممکن است 10 درصد آن‌ها از طریق اجرای کد روی سامانه قربانی درآمدزایی داشته باشند و 90 درصد آن‌ها از طریق مرورگرهای وب برای هکرها سودآوری داشته باشند.» برخی از کدهای کریپتو ماینینگ قابلیت تبدیل شدن به کرم‌های اینترنتی را دارند و با استفاده از ویژگی مذکور می‌توانند دستگاه‌ها و سرورهای بیشتری را آلوده کنند. این قابلیت‌ها باعث می‌شود تا شناسایی و حذف این مدل از بدافزارها مشکل شود و آن‌ها برای مدت زمان طولانی روی سامانه‌های آلوده باقی بمانند. علاوه بر این، برای افزایش قابلیت توزیع بدافزار در شبکه، کدهای استخراج رمز ارز در نسخه‌های مختلف نوشته می‌شوند که هر یک برای معماری‌های خاصی در شبکه طراحی می‌شوند. نمونه‌ای که توسط آزمایشگاه AT&T Alien Labs بررسی شده نشان می‌دهد که هکرها برای معماری‌های مختلف کدهای استخراج رمزارز را به اندازه‌ای با دقت و تمیز نوشته‌اند که گویا یک شرکت بزرگ نرم‌افزاری این کدها را نوشته است. تمامی کدها به شکل کاملا بهینه و دقیق نگارش شده‌اند و این‌گونه به نظر می‌رسد که یک کارشناس کنترل کیفیت این کدها را پیش از انتشار ارزیابی کرده است. کدهای استخراج رمز ارز متفاوت به این دلیل نوشته می‌شوند تا روی سامانه‌های مختلف نصب شوند تا در نهایت یکی از آن‌ها کارآمد واقع شود. این احتمال وجود دارد تا کدها به بررسی این موضوع بپردازند که آیا در گذشته سامانه‌ای آلوده به بدافزارهای استخراج رمز ارز بوده یا خیر؟ اگر پاسخ مثبت باشد، کدهای دیگر روی سامانه را غیرفعال می‌کنند. AT&T Alien Lab می‌گوید: «برخی از کدها و ابزارهای استخراج رمز ارز از مکانیزمی برای پیشگیری از غیرفعال کردن پردازه‌ها استفاده می‌کنند، به‌طوری که هر چند دقیقه یک‌بار اجرا می‌شوند.» برعکس بیشتر بدافزارها، کدهای کریپتوجکینگ به داده‌های قربانیان یا سامانه او آسیبی وارد نمی‌کنند و تنها به سوء استفاده از منابع پردازشی قربانی می‌پردازند. در اغلب اوقات، کاربران تنها شاهد افت سرعت و عملکرد سیستم هستند. در مقیاس وسیع‌تر، سازمان‌هایی که چنین بدافزارهایی در سامانه‌های آن‌ها نصب می‌شود، به یکباره با افزایش هزینه مصرف انرژی و کاهش پهنای باند روبرو می‌شوند و باید زمان زیادی را صرف شناسایی و رفع مشکل کنند.  

چرا کریپتوجکینگ محبوب شده است؟

آمار دقیقی در دست نیست که چه مقدار رمز ارز توسط مکانیزم کرپیتوجکینگ استخراج شده است. بردارهای حمله کریپتو جکینگ مبتنی بر مرورگر از همان ابتدای فعالیت به سرعت رشد کردند و به نظر می‌رسد به دلیل نوسانات بازار رمز ارزها و بازنشستگی کوین‌هایو، حجم فعالیت آن‌ها کمتر شده است. کوین‌هایو محبوب‌ترین کد سرقت رمز ارز نوشته شده به زبان جاوااسکرپیت بود که برای استخراج ارز دیجیتال به شکل مجاز از آن استفاده می‌شد. موسسه تحقیقاتی SonicWall در گزارش تهدیدات سایبری در سال 2020، اعلام کرد که حجم حمله‌های کریپتوجکینگ در نیمه دوم سال 2019 به دلیل بازنشستگی کوین‌هایو به 78 درصد کاهش پیدا کرده است. شرکت Positive Technology می‌گوید: «در سه ماهه نخست سال 2019 میلادی، استخراج رمز ارزها تنها 7 درصد از کل حمله‌های سایبری را شامل شده که به نسبت سال 2018 میلادی کاهش شدیدی را نشان می‌دهد. آمارها به وضوح نشان می‌دهند که هکرها به سراغ تکنیک‌های جدیدتری رفته‌اند که سودآوری بیشتری دارد.» مارک لالیبرت تحلیل‌گر هوش تهدید در شرکت WatchGuard Technologies که در زمینه ارائه راه‌حل‌های امنیت شبکه فعال است در این خصوص می‌گوید: «بدافزارهای استخراج رمزارز هنوز به تکامل نرسیده‌اند و بازهم جای پیشرفت دارند. نمونه‌هایی که اکنون مشاهده می‌کنید در آینده شکل پیشرفته‌تر و خطرناک‌تری به خود خواهند گرفت.» پژوهشگران در سال 2018 میلادی بات‌نت استخراج رمز ارز Smominru را شناسایی کردند که بیش از نیم میلیون سیستم در کشورهای هند، تایوان و روسیه را آلوده کرده بود. این بات‌نت از سرورهای آلوده ویندوزی برای استخراج رمز ارز مونرو استفاده می‌کرد. شرکت امنیت سایبری Proofpoint تخمین زده که بات‌نت فوق تا پایان ژانویه 2018 میلادی در حدود 3.6 میلیون دلار برای هکرها سودآوری داشته است. پیاده‌سازی کریپتوجکینگ به مهارت فنی خاصی نیاز ندارد. امروزه بسته‌های آماده کریپتوجکینگ حدود 30 دلار در دارک وب به فروش می‌رسند. اصلی‌ترین دلیل محبوبیت این بردار حمله، سودآوری زیاد و خطرات کم برای هکرها عنوان شده است. لالیبرت می‌گوید: «از منظر هکرها کریپتوجکینگ ابزاری سودآورتر و ارزان‌تر به نسبت باج‌افزارها است. با نصب باج‌افزار ممکن است هکرها به ازای آلوده‌سازی هر 100 سیستم تنها از 3 نفر قادر به دریافت باج باشند، اما با کریپتوجکینگ تمام سامانه‌های آلوده برای هکرها سودآوری خواهند داشت. این احتمال وجود دارد در روش فوق سودآوری هکرها به همان شکلی باشد که حمله‌های باج‌افزاری را پیاده‌سازی می‌کنند، اما نباید این نکته را نادیده بگیریم که درآمد حاصل از استخراج رمز ارز پیوسته و مدام است و قیمت این طلای جدید دائما در نوسان است.» در روش فوق، خطر شناسایی هکرها و به دام افتادن آن‌ها در مقایسه با باج‌افزارها کمتر است. کدهای کریپتوماینینگ به شکل پنهانی در سامانه‌های قربانیان وارد شده و اجرا می‌شوند و ممکن است برای مدت طولانی شناسایی نشوند. متاسفانه، پس از شناسایی، پیدا کردن منشا آلوده کننده سامانه سخت است و کاربران نیز علاقه چندانی به دنبال کردن این موضوع ندارند، زیرا هیچ سرقت یا رمزنگاری اطلاعات انجام نشده است. آمارها نشان می‌دهند هکرها استخراج رمز ارزهایی مثل مونرو و زی‌کش را به بیت‌کوین ترجیح می‌دهند، زیرا پیدا کردن ردپای مرتبط با این رمزارزها کار سختی است.  

چند نمونه واقعی از کریپتوجکینگ

هکرهایی که حمله‌های کریپتوجکینگ را پیاده‌سازی می‌کنند ذاتا باهوش هستند. آن‌ها روش‌های مختلفی را برای پیاده‌سازی بدافزارهای استخراج رمز ارز به کار می‌گیرند. به‌طور معمول، روش‌های انتقال بدافزارها به سامانه‌های قربانیان مشابه روشی است که برای سایر فعالیت‌های بدافزاری مثل باج‌افزاری و آگهی‌افزارها از آن‌ها استفاده می‌شود. تراویس فارال مدیر راه‌حل‌های امنیتی شرکت Anomali می‌گوید: «در این بردار حمله، شاهد به‌کارگیری روش‌های سنتی مختلف هستیم که هکرها در گذشته استفاده می‌کردند. این افراد به جای تحویل باج‌افزار یا تروجان، ابزارهای خودشان را به شکلی پیکربندی می‌کنند که بتوانند مولفه‌ها یا ماژول‌های استخراج رمز ارز را انتقال دهند.» در ادامه با چند مورد از این بدافزارها آشنا می‌شویم.

بات‌نت Prometei، برای بهره‌برداری از آسیب‌پذیری Microsoft Exchange طراحی شده بود

بدافزار Prometei با پیاده‌سازی یک شبکه بات‌نت چند مرحله‌ای از اوایل سال 2016 میلادی فرآیند استخراج رمز ارز مونرو را آغاز کرد. بدافزار فوق از روش‌های مختلف برای آلوده کردن دستگاه‌ها و انتشار در شبکه‌ها بهره می‌برد. در سال 2021 شرکت Cybereason خبر از شناسایی بدافزاری داد که از آسیب‌پذیری‌های Microsoft Exchange استفاده می‌کرد. تحلیل‌های بیشتر نشان دادند هکرها در حمله‌های Hafnium که برای استخراج اطلاعات ورود به حساب‌های کاربری طراحی شده از کدهای این بدافزار استفاده کردند. 

فیشینگ هدفمند PowerGhost که برای سوء استفاده از اعتبارنامه‌های ویندوزی طراحی شده بود

انجمن تهدیدات سایبری (CTA) اوایل سال 2021 گزارشی در ارتباط با استخراج غیرقانونی رمز ارزها و بدافزار PowerGhost منتشر کرد. در گزارش فوق آماده است که بدافزار مذکور قادر است برای پنهان ماندن از روش‌های مختلفی استفاده کند. PowerGhost در ابتدای فعالیت از فیشینگ هدفمند برای ورود به سامانه‌های کاربران استفاده می‌کند و در ادامه اعتبارنامه‌های ویندوز (نام کاربری و گذرواژه‌ها) را سرقت می‌کند. بدافزار فوق از ابزار مدیریت ویندوز و اکسپلویت EternalBule برای توزیع خود روی سامانه‌های مختلف استفاده می‌کند. این بدافزار برای فعالیت طولانی‌مدت روی سامانه قربانی و برای اختفا سعی می‌کند نرم‌افزارهای ضدویروس نصب شده را غیرفعال کند.  علاوه بر این، بدافزار فوق قابلیت غیرفعال کردن سایر ابزارهای استخراج رمزارز نصب شده روی سامانه قربانی را دارد. 

Graboid کرم استخراج‌کننده رمز ارزی که توسط کانتینرهای داکر منتشر می‌شود

شرکت امنیتی Palo Alto Networks در گزارشی که اوایل ماه می 2021 منتشر کرد اعلام کرد که بات‌نت استخراج رمز ارزی به‌نام Graboid را شناسایی کرده که قابلیت‌ انتشار خودکار دارد. به این ترتیب Graboid لقب اولین کرم استخراج رمز ارز را به‌نام خود ثبت کرد. عملکرد بدافزار فوق به این صورت است که سعی می‌کند نسخه‌های نصب شده موتور داکر (Docker Engine) که امکان دسترسی به آن‌ها از طریق اینترنت و بدون احراز هویت وجود دارد را پیدا کند و روی سامانه قربانیان نصب شود. 

حساب‌های مخرب Docker Hub که رمز ارز مونرو استخراج می‌کنند

در سال 2020 میلادی شرکت امنیتی Palo Alto Networks یک کمپین استخراج رمز ارز را کشف کرد که در آن از ایمیج‌های داکر برای انتشار بدافزارهایی برای استخراج رمز ارز استفاده می‌شد. قرار دادن کد استخراج رمز ارز در ایمیج داکر راهکاری است که مانع شناسایی آن توسط ابزارهای ضد بدافزاری می‌شود. این ایمیج‌های آلوده بیش از 2 میلیون بار توسط کاربران دانلود شدند، به‌طوری که برآورد شده این کمپین 36 هزار دلار برای هکرها سودآوری داشته است. 

بدافزار MinerGate با عملکردی هوشمندانه‌

MinerGate بدافزار هوشمند دیگری که برای استخراج رمز ارزها طراحی شده بود به نسبت بدافزارهای دیگر عملکرد متفاوتی دارد. این بدافزار حرکت ماوس را شناسایی می‌کند و اگر ماوس برای مدت زمان طولانی بی‌تحرک باشد، حدس می‌زند کاربر در کنار سیستم نیست، در این حالت فعال شده و اقدام به استخراج رمز ارز می‌کند. در این حالت احتمال این‌که کاربر متوجه افت سرعت سیستم شود کم می‌شود. 

BadShell بدافزاری که از پردازه‌های ویندوز سوء استفاده می‌کند

اوایل آوریل 2021 میلادی بود که شرکت امنیت سایبری کومودو موفق به شناسایی بدافزاری شد که از پردازه‌های سیستم‌عامل ویندوز برای استخراج رمز ارزها استفاده می‌کند. بدافزار فوق که BadShell نام دارد از پردازه‌های پاورشل برای اجرای فرمان‌ها ، زمان‌بند کارها برای حضور مستمر در سامانه آلوده و رجیستری ویندوز برای حفظ کدهای باینری استفاده می‌کند. 

کارمندی که از سیستم‌های بانکی سوء استفاده می‌کرد

شرکت چندملیتی Darktrace که در زمینه ارائه راه‌حل‌های امنیتی به فعالیت اشتغال دارد در خبر جالبی اعلام کرد در نمونه نادری یکی از مشتریانش (یک بانک اروپایی) قربانی یک حمله رمز ارز شده است. این شرکت در تحلیل‌های فنی متوجه تغییر الگوی ترافیکی غیرطبیعی در سرورهای بانک مذکور شد، به‌طوری که پردازش‌های تحت شبکه غیرمعمولی باعث کندی خدمات این بانک شده‌اند، در حالی که ابزارهای عیب‌یابی این بانک مشکل خاصی را گزارش نمی‌کردند. پژوهش‌های بیشتر و دقیق‌تر مرکز داده نشان دادند در زمان کندی سرعت سرورها، پردازش‌های جدیدی ایجاد می‌شوند که ارتباطی با فعالیت‌های عادی بانک ندارند و یکی از کارمندان بانک یک سامانه استخراج رمز ارز در زیر کف یکی از اتاق‌های بانک نصب کرده بود. 

انتشار ابزارهای استخراج رمز ارز توسط گیت‌هاب

شرکت امنیتی Avast  گزارش داده که مجرمان سایبری از گیت‌هاب برای میزبانی کیت‌های استخراج رمز ارز استفاده می‌کنند. بر اساس گزارش‌های این شرکت، هکرها پروژه‌هایی در این سایت بارگذاری کرده و با کمک فیشینگ و مهندسی اجتماعی کاربران را تشویق به دانلود این پروژه‌های آلوده می‌کنند. یکی از این روش‌ها نمایش پیغام هشدار برای به‌روزرسانی فلش‌پلیر است. 

WinstarNssmMiner

شرکت امنیتی Total Security 360 بدافزاری را شناسایی کرده که علاوه بر قابلیت انتشار سریع، قدرت زیادی در استخراج رمز ارزها دارد. جالب آن‌که هرگونه تلاش برای حذف این بدافزار که winstarNssmMiner نام دارد، باعث می‌شود تا سامانه آلوده در اجرای پردازه‌های عادی با مشکل روبرو شود. WinstarNssmMiner برای این‌کار کدهای آلوده‌ای به پردازه svchost.exe تزریق می‌کند تا بتواند نوع فرآیند تولید شده برای CriticalProcess را تغییر دهد. با توجه به این‌که پردازه CriticalProcess برای کارکرد ویندوز ضروری است، تلاش برای حذف یا راه‌اندازی دوباره آن باعث بروز نقص در عملکرد می‌شود. 

چگونه با کریپتوجکینگ مقابله کنیم؟

برای به حداقل رساندن خطر قربانی شدن به دلیل حمله‌های کریپتوجکینگ به توصیه‌های زیر عمل کنید:

•     اخبار مربوط به امنیت سایبری که پیرامون کریپتوجکینگ منتشر می‌شوند را دنبال کنید تا بدانید هکرها از چه روش‌هایی برای آلوده‌سازی سامانه قربانیان استفاده می‌کنند. همان‌گونه که مشاهده کردید هکرها از ابزارهای محبوب و رایجی مثل داکر و گیت‌هاب برای قربانی کردن کاربران بی اطلاع استفاده می‌کنند. انجمن تهدیدات سایبری می‌گوید: «مواقعی که ممکن است راه‌حل‌های امنیتی شکست بخورند، آموزش به کمک شما می‌آید. گزارش‌ها نشان می‌دهند هنوز هم حمله‌های فیشینگ اصلی‌ترین روش انتشار بدافزارهای مختلف هستند.»
•     روی مرورگرهای وب، افزونه مسدودکننده تبلیغ‌افزار یا ضد کریپتوماینینگ نصب کنید، زیرا بخش عمده‌ای از کدهای مخرب کریپتوجکینگ از طریق آگهی‌های وب منتشر می‌شوند، بنابراین نصب یک افزونه مسدودکننده تبلیغات خطر آلودگی به این بدافزارها را کم می‌کند. برخی از این ابزارها مثل Ad Blocker Plus قابلیت تشخیص کدهای مخرب استخراج رمز ارز را دارند. علاوه بر این NoCoin و MinerBlock نیز برای شناسایی و مسدود کردن کدهای مخرب استخراج‌کننده رمزارز طراحی شده‌اند. 
•     از راه‌حل‌های محافظت از نقاط انتهایی شبکه که توانایی شناسایی ماینرهای شناخته شده را دارند استفاده کنید. به‌طور کلی، نرم‌افزارهای ضدویروس، قابلیت تشخیص ابزارهای استخراج رمز ارز را دارند، ضدویروس یکی از ابزارهایی است که برای محافظت در برابر کریپتوماینینگ روی نقاط انتهایی نصب می‌شود. 
•      ابزارهای فیلترکننده صفحات وب را به‌روز کنید. اگر صفحه‌ای شناسایی کردید که اسکریپت کریپتوجکینگ را نصب می‌کند، دسترسی کاربران به آن صفحه را مسدود کنید. 
•     برای کنترل بهتر دستگاه‌های کاربران، از راه‌حل‌های مدیریت دستگاه‌های همراه (MDM) استفاده کنید. ابزارهای MDM می‌توانند به بهبود امنیت زیرساخت‌ها کمک می‌کنند. ابزار MDM با مدیریت افزونه‌ها و برنامه‌های کاربردی روی دستگاه‌های کاربران مانع به وجود آمدن شکاف‌های امنیتی می‌شود. این راه‌حل‌ها بیشتر مناسب سازمان‌های بزرگ هستند و برای کسب‌وکارهای کوچک کاربرد چندانی ندارد. دستگاه‌های همراه به نسبت کامپیوترها و سرورها در معرض خطر قرار ندارند، زیرا توان پردازشی کمی دارند و برای هکرها سودبخش نیستند. 

‌چگونه حمله‌های کریپتوجکینگ را شناسایی کنیم؟

‌کریپتوجنیگ همانند حمله‌های باج‌افزاری پیامدهای مخربی دارد. پاک‌سازی این بدافزارها به نسبت نمونه‌های دیگر کار مشکلی است. متاسفانه این امکان وجود ندارد که برای مقابله با کریپتوجکینگ از راه‌حل‌های فعلی استفاده کرد. کدهای کریپتوماینینگ قابلیت پنهان شدن از دید ابزارهای امنیتی تشخیص مبتنی بر امضا را دارند و به همین دلیل ابزارهای ضدویروس کامپیوتر قادر به تشخیص آن‌ها نیستند. برای شناسایی این مدل حمله‌ها می‌توان از روش‌های زیر استفاده کرد:

• تیم فناوری‌اطلاعات باید درباره نشانه‌های آلودگی به کریپتوماینینگ اطلاعات کافی داشته باشد: گاهی اوقات شکایت کارمندان از افت سرعت سامانه‌ها، نشانه اولیه آلودگی به بدافزارهای کریپتوماینینگ است که باید به دقت بررسی شود. گرم شدن بیش از اندازه سامانه‌ها باعث می‌شود فشار روی پردازنده یا فن خنک‌کننده بیشتر شود که یکی از نشانه‌های آلودگی است. اگر روند گرم شدن تجهیزات ادامه‌دار باشد به دستگاه‌ها آسیب می‌رساند و طول عمر آن‌ها را کم می‌کند. 
• به‌کارگیری راه‌حل‌های نظارت بر شبکه: خوشبختانه شناسایی کریپتوجکینگ در شبکه‌های سازمانی ساده‌تر از کامپیوترهای شخصی است، زیرا ابزارهای نظارتی مختلفی در شبکه‌ها نصب می‌شوند که هرگونه فعالیت مشکوکی را گزارش می‌دهند. سازمان‌ها باید به فکر نصب تجهیزات نظارت بر شبکه‌ای باشند که قابلیت تشخیص و تحلیل نشانه‌های دال بر بدافزارهای کریپتوماینینگ را داشته باشند. به‌طور مثال، شرکت SecBI یک راه‌حل مبتنی بر هوش مصنوعی طراحی کرده که ترافیک شبکه را تحلیل می‌کند و ابزارهای کریپتوجکینگ و سایر تهدیدات سایبری را شناسایی می‌کند. بهترین راه برای تشخیص فعالیت‌های کریپتوماینینگ نظارت بر شبکه است. ابزارهای نظارت بر شبکه که ترافیک وب را زیر نظر می‌گیرند به سرعت قادر به تشخیص بدافزارهای استخراج رمز ارز هستند. اگر فیلترینگ دقیقی روی ترافیک ورودی سرور اعمال شود و ارتباطات خروجی به دقت زیر نظر قرار گرفته باشد، احتمال شناسایی بدافزارهای استخراج رمزارز بیشتر می‌شود. 
• وب‌سایت‌تان را به دقت زیر نظر بگیرید: طراحان بدافزارهای کریپتوماینینگ از روش‌های مختلفی برای تزریق کدهای جاوااسکریپت در سایت‌ها استفاده می‌کنند. در بیشتر موارد خود سرور، هدف نیست، بلکه هر شخصی که از وب‌سایت میزیانی شده روی سرور بازدید می‌کند هدف قرار می‌گیرد. به همین دلیل تغییرات فایل‌های سرورها و صفحات وب‌سایت‌ها باید زیر نظر قرار بگیرند. 
• اطلاع از جدیدترین اخبار و تحولات کریپتوجکینگ: کدهای استخراج رمز ارزها و روش‌های انتشار آن‌ها دائما در حال تغییر هستند. آشنایی با نرم‌افزارها و الگوهای رفتاری، کمک زیادی به تشخیص زودهنگام حمله‌های کریپتوجکینگ می‌کند. اگر با سازوکارهای عملکردی این بدافزارها آشنا باشید از این نکته اطلاع خواهید داشت که یک کیت بهره‌برداری خاص چه بدافزاری را نصب می‌کند. به‌طور مثال در سال 202 میلادی شرکت Akamai موفق به شناسایی یک بات‌نت کریپتوماینینگ شد که تکنیک‌های خود را تغییر داده بود تا امکان مقابله با آن وجود نداشته باشد. طراحان بات‌نت‌ها آدرس یک کیف پول بیت‌کوین را به همراه نشانی یک آدرس API بررسی کیف پول به بدافزار اضافه کردند تا بتوانند از طریق این API آدرس آی‌پی که از آن برای حضور دائمی در سیستم قربانی و آلوده کردن سایر سیستم‌ها استفاده می‌کردند را محاسبه کنند. پژوهشگران می‌گویند روش فوق کاملا هوشمندانه و راهبردی است و به هکرها اجازه می‌دهد داده‌ها را به شکل مبهم روی زنجیره بلوکی ذخیره‌سازی کنند.