Babak baru penambangan abu-abu - penambangan browser

Dengan munculnya penambang javascript, peretas telah secara signifikan memperluas peluang mereka untuk penambangan mata uang kripto yang bersifat parasit.

Penambangan abu-abu, atau sekadar menggunakan perangkat pengguna untuk menambang mata uang kripto untuk kepentingan penyerang, masih menjadi salah satu target peretasan paling populer karena... memberikan penghasilan yang cukup cepat dan besar bagi peretas. Kami telah membicarakan tentang penambangan abu-abu di artikel kami "Jaga sumber daya Anda: Penambang menyerang" dan "Penambangan abu-abu - apa itu?".

Semakin banyak opsi baru

Pada musim panas tahun 2017, terjadi peristiwa yang memberikan dorongan baru bagi perkembangan penambangan parasit - penambang javascript Coinhive, yang dirancang untuk penambangan Monero, memasuki pasar. Pemilik situs web, dengan terhubung ke layanan Coinhive dan menempatkan kode yang sesuai di situs web mereka, dapat memperoleh penghasilan tambahan dengan menggunakan kekuatan komputasi pengunjung sumber daya - saat pengguna berada di situs web, browsernya menambang Monero untuk pemilik situs web. Saat ini, menurut publicwww.com layanan ini digunakan di lebih dari 20 ribu situs. Coinhive dirancang sebagai peluang bagi pemilik sumber daya untuk menolak iklan mengganggu yang mencuri ruang di situs, dan memperoleh penghasilan melalui penambangan.

Jadi, pada bulan September 2017, salah satu pelacak torrent paling terkenal “The Pirate Bay”, sambil mencari alternatif selain menghasilkan uang dari iklan, menguji skrip penambangan selama 24 jam. Pada akhir bulan yang sama, hampir semua situs milik perusahaan Media Holding Ukraina (Korrespondent.net, Football.ua, iSport.ua, Tochka.net) mencoba penambangan tersembunyi, tetapi, setelah ada keluhan dari pengguna di jejaring sosial, skrip penambangan telah dihapus dari semua sumber daya holding. Bahkan penyedia Internet yang menyediakan akses Internet, jaringan kopi Starbucks di Buenos Aires, tidak meremehkan peluang untuk menghasilkan uang dengan menambang Monero di perangkat pengunjungnya saat mereka masuk ke jaringan.

Sayangnya, dengan cepat, skrip dari Coinhive berubah menjadi perangkat lunak paling umum yang tidak diinginkan (malware) dan setelah peretasan diketahui bahkan pada sumber daya yang sering dikunjungi seperti The Los Angeles Times, Blackberry, Politik dan Waktu Tayang.

Coinhive menerima 30% dari seluruh mata uang kripto yang ditambang menggunakan skrip mereka. Paling sering, mereka dengan cepat menanggapi pesan (hanya langsung dari pemilik sumber daya yang diretas) tentang penyalahgunaan layanan mereka oleh penyerang dan memblokir akun peretas, tetapi pada saat yang sama, pekerjaan skrip di situs yang diretas tidak berhenti dan Coinhive mulai mengambil 100% dari apa yang ditambang. Pakar teknis mereka masih berupaya menghilangkan kelemahan dalam sistem ini, namun sejauh ini “tidak dapat”, dalam kata-kata mereka, menemukan solusi yang efektif.

Kemampuan tersembunyi

Sejak munculnya penambang javascript, peretas memiliki insentif lain untuk meretas server web - lagipula, Anda tidak hanya dapat menjalankan penambang di server itu sendiri, namun di semua situs yang dihosting di dalamnya menginstal penambang skrip secara tidak terlihat, yang tidak akan terlihat oleh pemilik sumber daya untuk menambang Monero untuk penyerang selama beberapa waktu waktu yang lama. Situs web yang berjalan di mesin WordPress, Magento, OpenCart, dan Drupal paling sering diretas. Pada saat yang sama, pemilik situs, paling sering, bahkan tidak menyadari peretasan tersebut karena... Peretasan ini praktis tidak memiliki tanda-tanda eksternal. Untuk melindungi diri dari masalah tersebut, administrator situs harus terus memperbarui perangkat lunak server dan mesin situs, menginstal patch keamanan terbaru, dan memantau perubahan pada file dan data di server secara rutin.

Namun, cara ini bahkan lebih efektif jika menginfeksi tidak hanya situs web, namun juga situs penyedia konten, seperti server CDN (Jaringan Distribusi Konten) atau plugin yang digunakan oleh banyak sumber daya lainnya. Dalam hal ini, setelah menginfeksi satu sumber daya, penyerang segera menginfeksi semua situs yang menggunakan plugin ini.

Jadi, pada tanggal 11 Februari 2018, plugin Browseloud dari produsen texthelp, yang membuat situs lebih mudah dipahami oleh orang-orang dengan masalah penglihatan, telah terinfeksi. Kode penambang Coinhive dikaburkan dan disematkan di badan plugin sehingga segera ditampilkan di lebih dari 4.200 situs, termasuk beberapa sumber daya pemerintah AS dan Inggris (uscourts.gov, perundang-undangan.qld.gov.au, manchester.gov.uk, gmc-uk.gov), serta situs web pengembang itu sendiri. Plugin yang dimodifikasi bekerja selama 4 jam sebelum diketahui oleh uji keamanan otomatis texthelp. Plugin segera dinonaktifkan pada semua sumber daya yang menggunakannya hingga penyelidikan selesai.

Selain itu, penyerang bahkan pernah berhasil menyelundupkan kode penambang ke jaringan periklanan Google. Pada paruh kedua Januari 2018, penyebutan pertama tentang program anti-virus yang dipicu saat mengunjungi YouTube muncul. Beberapa hari kemudian, analis Trend Micro mengonfirmasi kehadiran skrip penambangan Coinhive di iklan, dihosting di YouTubeoleh platform periklanan DoubleClick Google. Kampanye iklan mencapai puncaknya pada tanggal 23-24 Januari, setelah itu diblokir.

Pada bulan April 2018, kerentanan kritis terungkap pada salah satu platform paling populer untuk pengembangan situs web, Drupal - Drupalgeddon 2.0. Kerentanan ini memungkinkan penyerang mengeksekusi kode arbitrer pada sumber daya yang diserang, sehingga memungkinkan mereka mengendalikan setidaknya satu situs web, dan paling banyak seluruh server. Kerentanan inilah yang dimanfaatkan oleh penulis Kitty, penambang abu-abu terbaru berdasarkan perangkat lunak terbuka untuk penambangan berbasis browser webminerpool untuk menembus server yang rentan. Dengan menyusup ke server, Kitty membuka peluang lain untuk akses yang lebih besar bagi pembuatnya, dan juga membuat cronjob yang berjalan secara teratur di server yang mengunduh versi barunya sekali dalam satu menit, yang memberi peretas kemampuan untuk memperbarui Kitty dengan cepat dan mengkonfigurasi ulang server yang berada di bawah kendalinya. Setelah konsolidasi terakhir di kedalaman sistem, Kitty meluncurkan salah satu versi penambang xmrig, yang menambang Monero. Skrip infeksi kemudian menambahkan rasa seperti browser ke semua halaman situs, menyuntikkan pemuatan JavaScript me0w.js ke dalam templat Drupal.. Naskah ini mengakhiri karyanya dengan tulisan yang menyentuh hati yang tidak dapat membuat para pecinta kucing acuh tak acuh: “me0w, jangan hapus tolong, aku adalah kucing kecil yang lucu dan tidak berbahaya, me0w” (meong, jangan hapus, tolong, aku adalah anak kucing kecil yang lucu dan tidak berbahaya, meong).

Selain serangan besar dan peretasan terisolasi yang dijelaskan di atas, pengenalan penambang ke pengguna jaringan publik selalu relevan. Jenis peretasan ini disebut CoffeeMiner dan dijelaskan secara rinci dalam artikel "CoffeeMiner: Meretas WiFi untuk memasukkan penambang mata uang kripto ke permintaan HTML" oleh spesialis keamanan informasi independen yang dikenal sebagai Arnau. Prinsipnya didasarkan pada serangan man-in-the-middle (MitM), dan targetnya adalah perangkat apa pun yang terhubung ke jaringan WiFi yang diretas. 

Penyerang menyuntikkan kode javascript ke halaman mana pun yang dimuat melalui HTTP, yang secara diam-diam mengekstraksi mata uang kripto untuk pembuatnya. Solusi paling efektif untuk jenis penambangan abu-abu ini, serta banyak masalah lainnya, adalah dengan menggunakan VPN Anda sendiri saat terhubung ke jaringan publik mana pun.

Pintu keluar adalah tempat masuknya.

Saat ini, Coinhive tidak lagi memonopoli pasar penambangan berbasis browser. Beberapa solusi berdasarkan hal tersebut muncul, serta pengembangan kepemilikan yang tidak pernah dipublikasikan. Itulah sebabnya masalah perlindungan terhadap penambangan browser akan tetap terbuka untuk waktu yang lama. Bagaimana cara melindungi diri Anda dari penambangan javascript abu-abu? Ada beberapa cara untuk melakukan ini. Yang paling radikal adalahmenonaktifkan Javascript di pengaturan browser. 

Metode ini adalah yang paling efektif, namun, sayangnya, situs terhormat yang menggunakan javascript agar berfungsi penuh (dan ini adalah situs mayoritas saat ini) juga mengalami dampaknya. Solusi andal lainnya adalah dengan menggunakan pemblokir iklan, antivirus, dan ekstensi browser khusus (misalnya, minerBlock atau NoCoin).

Misalnya, Adblock PRO langsung memblokir penambang dari Coinhive. Namun pembuat penambang tidak tinggal diam - mereka terus meningkatkan kamuflase skrip, sehingga mempersulit antivirus, jadi kami selalu menyarankan untuk menggunakan versi sistem dan perangkat lunak antivirus terbaru.