一年成为全网公敌,这段挖矿代码怎样黑遍了各大网站?
发布时间:2021-11-20 17:48:09 所属栏目:交互 来源:互联网
导读:多家安全公司最近将加密货币挖矿服务Coinhive定为Web用户最大的威胁,这归咎于使用Coinhive的代码的网站被黑客入侵,窃取了访客设备的处理能力。本文探讨Coinhive在推出不到一年后如何跃居威胁排行榜第一,并探索关于这个服务背后参与者的身份线索。 Coinhive
|
多家安全公司最近将加密货币挖矿服务Coinhive定为Web用户最大的威胁,这归咎于使用Coinhive的代码的网站被黑客入侵,窃取了访客设备的处理能力。本文探讨Coinhive在推出不到一年后如何跃居威胁排行榜第一,并探索关于这个服务背后参与者的身份线索。 Coinhive是一种加密货币挖矿服务,靠的是一小段嵌入网站的代码。该代码借用访问网站的浏览器的部分或全部计算能力,将该机器列到一个竞价系统中,用于挖掘Monero加密货币。 Monero与比特币的不同之处在于,交易是不可追溯的,外部人无法追踪双方之间的Monero交易。自然,这种特性使得Monero对于网络犯罪分子特别有吸引力。 Coinhive去年夏天发布了它的挖矿代码,宣称站长们不需要投放侵入性、讨厌的广告也可以获得收入。但后来Coinhive的代码已成为多家安全公司追踪的头号恶意软件。这是因为大部分情况下代码都安装在被黑的网站上,所有者不知情也未授权。 就像被恶意软件或特洛伊木马感染一样,Coinhive的代码经常会锁定用户的浏览器,并耗尽设备的电池,只要访问者浏览网站,它就会全程挖掘Monero。 目前有近32,000个网站运行Coinhive的JavaScript矿机代码。很难说其中有多少网站有意安装了这些代码,近几个月来黑客已经秘密地将代码嵌入到了一些非常流行的网站上,包括“洛杉矶时报”官网、移动设备制造商Blackberry、Politifact 和Showtime。 而且代码还在一些意想不到的地方出现。12月,Coinhive代码被发现嵌入在布宜诺斯艾利斯星巴克Wi-Fi热点的所有网页中。1月的大约一周时间里,Coinhive被发现隐藏在日本、法国、意大利、西班牙和中国台湾的YouTube广告内(通过Google的DoubleClick平台)。2月,Coinhive在Textalp提供的“Browsealoud”上被发现,该服务为视障人士朗读网页。除了一些美国和加拿大政府网站之外,该服务还在英国许多政府网站得到广泛使用。 Coinhive会从中得到什么?无论网站是否同意运行它,Coinhive都会从网站获得的Monero加密货币抽成30%。该代码与一个特殊的密钥绑定,密钥标识哪个用户帐户会收到另外70%的收入。 Coinhive确实接受投诉,但它通常只回应被黑网站主人的投诉(对大部分第三方提出的投诉不予理睬)。更糟糕的是,当Coinhive对投诉作出回应时,它只是让秘钥失效而已。 但据安全专家Troy Mursch说,他花很多时间跟踪Coinhive和其他“密码劫持”请求,解绑密钥并不会阻止Coinhive的代码继续在黑客攻击的网站上挖掘Monero。一旦密钥失效,挖掘的加密货币会100%归Coinhive所有。 Mursch说,Coinhive似乎毫无动力监控滥用代码的行为。 他们'终止'一个密钥时,只是禁用了平台上的用户,不会阻止恶意JavaScript运行,这只是意味着关联的Coinhive用户不会得到报酬。代码一直在运行,而Coinhive获得了所有的收入。也许他们对此无能为力,或者他们不想。但只要代码仍然在黑客攻击的网站上,它一直在赚钱。 对于这种明显的利益相关,Coinhive的回应很官方,声称正在努力修正。 “我们在假设网站密钥是不可改变的前提下开发了Coinhive,”Coinhive回复道。“用户无法删除站点密钥。这极大地简化了最初的开发。我们可以在WebSocket服务器上缓存站点密钥,而不是从每个新客户端的数据库重新加载它们。我们正在研究一种机制将密钥的失效告知WebSocket服务器。” AUTHEDMINE代码诞生 Coinhive通过发布新版本“AuthedMine”来回应这种批评,该代码旨在运行Monero挖掘脚本之前先征求网站访问者的授权。Coinhive号称使用其平台的挖矿活动中约35%来自使用AuthedMine的网站。 但根据2月份由安全公司Malwarebytes发布的报告,与不需要网站访客允许的挖矿代码相比,AuthedMine代码“几乎没人使用”。Malwarebytes的病毒警报数据显示,涉及Coinhive的挖矿代码的所有案例中,AuthedMine的使用率略高于百分之一。 插图:以上统计数据显示1月10日至2月7日期间每天Malwarebytes阻止AuthedMine和Coinhive的连接次数。 当被要求评论Malwarebytes的调查结果时,Coinhive回答说,如果使用AuthedMine的人相对较少,这可能是因为像Malwarebytes这样的反恶意软件公司已经让人们无利可图。 “他们认为可供选择的版本是威胁并阻止它,”Coinhive说。 “没有人会使用AuthedMine,因为它被杀毒软件阻止了? 如果杀毒软件认为“挖矿不好”,那么采矿就是不好的。” 同样,源代码跟踪站点publicwww.com的数据显示,大约32,000个站点正在运行原始Coinhive挖矿脚本,而该站点列出的运行AuthedMine的站点仅有1,200个。 Cionhive到底是谁? 根据Coinhive网站的原先的一份声明,Coinhive诞生于德语图像托管和论坛pr0gramm.com的一项实验。 的确,pr0gramm.com上的多个讨论主题显示,Coinhive的代码在2017年7月的第三周首次出现。当时实验被称为“pr0miner”,并且这些线索表明负责pr0miner的核心程序员使用 pr0gramm上的昵称“int13h”。Coinhive证实“当时大部分工作都是由int13h完成的,他仍然在我们的团队中。” 当被要求解释为什么与pr0gramm关系那段声明被删除, Coinhive说是为了图便利: “pr0gramm由几个好朋友发起,我们过去曾帮助他们完成基础设施和各种项目。 他们让我们用pr0gramm作为挖矿的试验台,并让我们用他们的名字来获得更多的背书。对于小白来说,发布一个新平台很困难。后来我们小有名气,就不再需要这个声明。” 在被要求澄清其声明中提到的“平台”(“我们是自筹资金并且在过去11年一直运行这个平台”)时,Coinhive回答说:“对不起,没有写得更清楚:'这个平台'的确是pr0gramm“。 也许可以通过确定pr0gramm论坛管理员的身份来找出谁在运行Coinhive。如果他们不是同一批人,那么pr0gramm管理员肯定会知道Coinhive背后的人是谁。 谁是pr0gramm的所有者? 试图找出谁在运行pr0gramm并不容易,但最终所有信息都在网上找到了。 收集的所有数据来源于域名注册网站WHOIS,或者来自各种社交媒体网络 上pr0gramm管理员自己公布的信息。换句话说,这项调查中所有内容都是pr0gramm管理员自己放到网上的。 从pr0gramm域名开始,像其他许多与此调查相关的域名一样,最初是注册人是Matthias Moench博士。 Moench先生只是略有关联,很难说他是一个有罪的垃圾邮件发送者和凶手,本文最后一部分解释了谁是Moench先生以及他为什么会与这么多的域名所关联。他本身是个有意思而又很可怕的故事。 pr0gramm最初与一家成人网站相关联,该网站与两家十多年前在内华达州拉斯维加斯注册的公司有关系。Eroxell Limited和Dustweb Inc这两家公司都表示他们参与了某种形式的在线广告。 Eroxell、Dustweb以及几个与pr0gramm相关的网站(例如pr0mining.com,pr0mart.de,pr0shop.com)都与一个名叫Reinhard Fuerstberger的德国男子相关,该男子的域名注册记录里有电子邮件地址admin @ pr0gramm.com。 Eroxell和Dustweb也分别与一家在西班牙注册的名为Suntainment SL的公司有关系,Fuerstberger很明显是这家西班牙公司的所有者。 正如pr0gramm网站上所述,论坛于2007年开始,作为德语留言板,源自于一个自动化的机器人,它可以索引和显示被发布到Quake(广受欢迎的第一人称射击游戏)相关的在线聊天频道的图片。 随着论坛用户群的增长,网站缓存图片的多样性也在增长,pr0gramm开始提供付费的所谓“pr0mium”帐户,允许用户查看“办公室不宜”图片并在讨论区发表评论。当pr0gramm去年7月首次推出pr0miner(Coinhive的前身)时,它邀请pr0gramm会员在他们自己的网站上试用这些代码,并且提供pr0mium积分作为奖励。 pr0gramm上的一个关于pr0miner的帖子,后来被称为Coinhive的前身。  (编辑:信阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |