С появлением javascript-майнеров у хакеров значительно расширились возможности для паразитной добычи криптовалют.
Серый майнинг или же попросту использование устройств пользователей для майнинга криптовалют в пользу злоумышленников все еще является одной из самых популярных целей взлома т.к. приносит достаточно быстрый и немалый доход хакерам. Мы уже рассказывали о сером майнинге в наших статьях "Берегите свои ресурсы: Майнеры атакуют" и "Серый майниг - что это такое?".
Все новые и новые варианты
Летом 2017 произошло событие, которое дало новый толчок развитию паразитного майнинга - на рынок вышел javascript-майнер Coinhive, предназначенный для добычи Monero. Владельцы сайтов, подключившись к сервису Coinhive и разместив соответствующий код у себя на сайте, могут получать дополнительный доход за счет использования вычислительных мощностей посетителей ресурса - пока пользователь находится на сайте, его браузер майнит Monero для владельца сайта. На данный момент, по данным publicwww.com данный сервис используется более чем на 20 тысячах сайтов. Coinhive задумывался как возможность для владельцев ресурсов отказаться от надоедливой рекламы, крадущей место на сайте, а доход получать за счет майнинга.
Так, в сентябре 2017 один из самых известных торрент-трекеров “The Pirate Bay”, находясь в поиске альтернатив заработку на рекламе, тестировали скрипт майнинга в течение суток. В конце этого же месяца практически все сайты, принадлежащие компании “Украинский Медиа Холдинг” (Korrespondent.net, Football.ua, iSport.ua, Tochka.net) опробовали скрытый майнинг, но, после жалоб пользователей в социальных сетях, скрипт майнинга был удален со всех ресурсов холдинга. Даже интернет-провайдер, обеспечивающий доступом в Интернет, сеть кофеен Starbucks в Буэнос Айресе не побрезговал возможностью заработать, добывая Monero на устройствах своих посетителей, пока они выполняли вход в сеть.
К сожалению, достаточно быстро, скрипт от Coinhive превратился в самое распространенное нежелательное ПО (malware) и был после взломов замечен даже на таких высокопосещаемых ресурсах как The Los Angeles Times, Blackberry, Politifact и Showtime.
Coinhive получает 30% от всей добытой с помощью их скрипта криптовалюты. Чаще всего, они достаточно оперативно реагируют на сообщения (только непосредственно от владельцев взломанных ресурсов) о неправомерном использовании их сервиса злоумышленниками и блокируют аккаунт хакера, но при этом, работа скрипта на взломанном сайте не останавливается и Coinhive начинает забирать себе 100% намайненного. Их технические специалисты все еще занимаются устранением данного недостатка в работе системы, но пока "не могут", по их словам, найти эффективного решения.
Скрытые возможности
С момента появления javascript-майнеров у хакеров появился еще один стимул взлома веб-серверов - ведь можно не просто запустить майнер на самом сервере, а на все сайты, размещенные на нем незаметно установить скрипт-майнер, который будет незаметно для владельца ресурса добывать Monero для злоумышленника достаточно долгое время. Взломам чаще всего подвергаются сайты, работающие на движках WordPress, Magento, OpenCart, Drupal. При этом, владелец сайта, чаще всего, даже не подозревает о взломе т.к. данный взлом практически не имеет внешних признаков. Для того, чтобы обезопасить себя от подобных неприятностей, администраторам сайтов необходимо постоянно обновлять серверное ПО и движки сайтов, устанавливать самые свежие патчи безопасности и проводить регулярный контроль изменений файлов и данных на серверах.
Но, еще эффективнее заразить не просто веб сайт, а сайт-поставщик контента, такой как сервер CDN (Content Distribution Network) или плагин, используемый множеством других ресурсов. В таком случае, заразив один ресурс, злоумышленник заражает сразу все сайты, использующие этот плагин.
Так, в 11 февраля 2018 был заражен плагин Browsealoud производителя texthelp, который облегчает восприятие сайтов для людей с проблемами зрения. Код майнера Coinhive был обфусцирован и внедрен в тело плагина и таким образом сразу же был отображен более чем на 4200 сайтах, включая некоторые правительственные ресурсы США и Соединенного Королевства (uscourts.gov, legislation.qld.gov.au, manchester.gov.uk, gmc-uk.gov), а также сам сайт разработчика. Модифицированный плагин проработал 4 часа, прежде чем был замечен автоматизированными тестами безопасности компании texthelp. Плагин был сразу же отключен на всех использующих его ресурсах до окончания расследования.
Кроме того, злоумышленникам однажды удалось даже протащить код майнера в рекламную сеть Google. Во второй половине января 2018 появились первые упоминания о срабатывании антивирусных программ при посещении YouTube. Через несколько дней аналитики Trend Micro подтвердили наличие майнингового скрипта Coinhive в объявлениях, размещаемых на YouTube рекламной платформой Google DoubleClick. Пик рекламной кампании пришелся на 23-24 января, после чего она была заблокирована.
В апреле 2018 была обнародована критическая уязвимость для одной из самых популярных платформ для разработки сайтов Drupal - Drupalgeddon 2.0. Данная уязвимость позволяла злоумышленнику выполнить произвольный код на атакуемом ресурсе, тем самым позволяя взять под контроль как минимум один сайт, а как максимум - весь сервер. Именно этой уязвимостью для проникновения на уязвимые сервера и воспользовались авторы Kitty - новейшего серого майнера, базирующегося на открытом ПО для браузерного майнинга webminerpool. Проникнув на сервер, Kitty открывает еще одну возможность более полного доступа для своих авторов, а также создает на сервере регулярно выполняемую задачу (cronjob), скачивающую свежую версию себя раз в минуту, что дает хакеру возможность быстрого обновления Kitty и реконфигурацию серверов, которые находятся под его контролем. После окончательного закрепления в недрах системы, Kitty запускает одну из версий майнера xmrig, добывающего Monero. Затем скрипт заражения переходит к добавлению браузерного манера на все страницы сайта, внедряя подгрузку JavaScript-а me0w.js в шаблоны Drupal. Завершает свою работу скрипт проникновенной надписью, которая не может оставить равнодушными любителей котиков: "me0w, don’t delete pls i am a harmless cute little kitty, me0w" (мяу, не удаляйте, пожалуйста, я безвредный милый маленький котенок, мяу).
Кроме описанных Выше крупных атак и единичных взломов всегда остается актуальным внедрение майнеров пользователям публичных сетей. Данный вид взлома получил название CoffeeMiner и был детально описан в статье "CoffeeMiner: Hacking WiFi to inject cryptocurrency miner to HTML requests" независимого специалиста по информационной безопасности, известного как Arnau. Ее принцип базируется на атаках типа "человек посередине" (MitM), а ее цель - любое устройство подключенное к взломанной WiFi сети.
Злоумышленник внедряет в любую загружаемую по HTTP страницу javascript код, который незаметно добывает криптовалюту для своего автора. Самым действенным лекарством от данного вида серого майнинга, как и от многих других проблем является использование собственного VPN при подключении к любым публичным сетям.
Выход там же, где и вход.
На данный момент Coinhive уже не является монополистом на рынке браузерного майнинга. Появились еще несколько решений на базе него, а также авторских разработок, так и не попавших в публичный доступ. Именно поэтому вопрос защиты от браузерного майнинга будет еще долго оставаться открытым. Как же защититься от серого javascript-майнинга? Для этого есть несколько способов. Самый радикальный из них - отключение Javascript в настройках браузера.
Этот метод самый эффективный, но, к сожалению, от него страдают и добропорядочные сайты, использующие javascript для полноценного функционирования (а таких на данный момент большинство). Другим надежным решением является использование блокировщиков рекламы, антивирусов и специальных браузерных расширений (например, minerBlock или NoCoin).
Например, Adblock PRO "из коробки" блокирует майнер от Coinhive. Но и авторы майнера не стоят на месте - они постоянно усовершенствуют маскировку скрипта, усложняя задачу антивирусам, поэтому мы всегда рекомендуем использовать самые новые версии системного и антивирусного ПО.
Читайте также
Что нельзя делать при настройке full-node
В мире криптовалют ноды играют все более важную роль. Они стимулируют держателей монет блокировать огромные суммы определенной валюты и предоставлять ценные услуги сети. Тем не менее, есть некоторые проблемы при настройке full-node, особенно если пользоваться при этом помощью посторонних людей.
Бот-сети перешли от DDoS-атак на скрытый майнинг
По мере приближения к концу 2018 года многие фирмы занимающиеся кибербезопасностью выпускают годовые отчеты, в которых подробно излагаются распространенные угрозы за год и сообщают интернет-пользователям о том, что следует ожидать в будущем.