Как майнить через браузер

Обновлено: 06.07.2024

Поскольку стоимость криптовалют, таких как биткойн и монеро, резко возросла в прошлом году, возникла еще более зловещая тенденция. Киберпреступники увидели возможность захватить незащищенные компьютеры, чтобы использовать их вычислительную мощность для майнинга криптовалюты — действия, которое включает в себя решение чрезвычайно сложных математических задач.

Облако Acronis Cyber Protect

Эти расчеты требуют много ресурсов ЦП и электроэнергии, поэтому хакеры используют сценарии майнинга в браузере для незаконного использования чужих компьютеров (так называемый криптоджекинг), чтобы они могли бесплатно добывать криптовалюты.

В этой статье мы объясним, как защитить свою систему от майнинга в браузере, чтобы она не использовалась киберпреступниками в качестве средства быстрого обогащения.

Затраты на майнинг

Во-первых, нам нужно понять природу криптовалют. Эти цифровые валюты основаны на криптографии (также называемой хэш-алгоритмами), которая записывает финансовые транзакции. Доступно только определенное количество хэшей, которые помогают установить относительную ценность каждой единицы.

Создание новых единиц криптовалюты требует решения сложной математической задачи. Первому, кто решит проблему, платят за его усилия в этой криптовалюте. Это означает, что легальные криптомайнеры должны инвестировать в серверные фермы для вычислительной мощности, огромного количества электроэнергии и систем охлаждения, которые помогают поддерживать эффективность их операций по майнингу, когда они обрабатывают цифры.

Распространение богатства с помощью криптомайнинга

Не все сценарии майнинга в браузере являются вредоносными. Некоторые веб-сайты экспериментируют с ними как с возможным источником дохода, который заменит онлайн-рекламу. Например, одним из первых веб-сайтов, испробовавших этот подход, был Quartz. Идея распространения криптомайнинга на нескольких компьютерах пользователей в обмен на доступ к веб-сайту казалась разумной, особенно с учетом того, что пользователь будет проинформирован и ему будет предложено согласиться на сделку.

К сожалению, преступники злоупотребляют этим подходом. Вместо того, чтобы инвестировать в инфраструктуру, необходимую для законного криптомайнинга, они рассматривают сценарии майнинга в браузере как способ избежать этих затрат. И будь то Coinhive, предлагающий инструменты для майнинга Monero, которые вы вставляете на веб-сайт, или альтернативы Coinhive, такие как EObot и Awesome Miner, которые имеют браузерные майнеры биткойнов, у преступников есть необходимые инструменты под рукой.

Результат — криптоджекинг.

Как узнать, был ли взломан ваш компьютер

Учитывая нагрузку на ваш процессор, если ваш компьютер внезапно стал работать медленно или ваша батарея разряжается особенно быстро, возможно, вас взломали. Как вы можете сказать?

Откройте диспетчер задач Windows или монитор активности macOS и нажмите «Процессы». Если вы видите, что ваш браузер работает сверхурочно, вы можете закрыть его и перезапустить. К сожалению, это не говорит вам, на каком сайте был запущен скрипт интеллектуального анализа браузера.

К сожалению, хакерам становится все труднее обнаружить их действия. В то время как старые скрипты максимизировали использование ЦП, новые скрипты криптомайнинга снижают загрузку до 20 %, что затрудняет их обнаружение.

Остановка криптомайнинга в браузерах

Хотя сейчас гораздо сложнее выявлять атаки вручную, есть превентивные меры, которые вы можете предпринять, чтобы автоматически уменьшить вашу подверженность и уязвимость к атакам через браузер.

Развертывание расширений для браузера

Большинство популярных веб-браузеров теперь включают расширения, которые могут помочь остановить атаки криптомайнинга в Интернете. Это могут быть как решения, разработанные разработчиком браузера, так и расширения с открытым исходным кодом, которые можно добавить. Решения No Coin и MinerBlocker, например, отслеживают подозрительную активность и блокируют атаки, и оба имеют расширения, доступные для Chrome, Opera и Firefox.

Программное обеспечение для блокировки рекламы

Учитывая стремительное распространение вредоносного ПО для криптомайнинга, многие блокировщики рекламы теперь включают блокировщик Coinhive, который блокирует запуск скрипта в вашем браузере. Если у вас установлен блокировщик рекламы, вам необходимо выбрать этот блокировщик скриптов.

Отключить JavaScript

Если вы хотите полностью заблокировать определенные атаки, большинство браузеров позволяют отключить JavaScript, хотя многие законные веб-сайты по-прежнему используют JavaScript, поэтому его отключение может вызвать проблемы.

Блокировать домены

Заключительные мысли

Блокировка скриптов майнинга в браузере — это важный шаг, который необходимо предпринять для обеспечения целостности и эффективности работы вашей системы, а шаги, необходимые для защиты вашего компьютера, не очень сложны.

Имейте в виду, однако, что многие криптоджекеры работают не в браузере.Вместо этого они представляют собой автономные программы, которые напрямую заражают вашу систему, часто включая программы-вымогатели, чтобы максимизировать свою прибыль. Для борьбы с этими автономными вариантами вы можете рассмотреть Acronis True Image 2020 Cyber Protection, который предоставляет как проверенные возможности резервного копирования, так и встроенный блокировщик программ-вымогателей и криптомайнинга, работающий на основе искусственного интеллекта.

Защищая как от браузерного майнинга, так и от отдельных вредоносных программ для криптомайнинга, вы можете помешать киберпреступникам использовать вашу систему в качестве личного банкомата.

Дэвид Флойд — репортер Coindesk с более чем 5-летним опытом работы внештатным финансовым писателем. Он бывший штатный обозреватель Investopedia.

Название говорит само за себя: WannaMine. Panda, компания по кибербезопасности из Бильбао, Испания, написала в начале февраля, что «новый вариант вредоносного ПО захватывает компьютеры по всему миру, захватывая их для майнинга криптовалюты под названием Monero».

Вирус напоминает WannaCry, червя, охватившего весь мир в мае 2017 года. Он шифровал данные зараженных систем и требовал выкуп в биткойнах за их расшифровку. Но WannaMine использует другой подход к выманиванию криптовалюты из своих жертв: он использует вычислительную мощность своих машин для многократного запуска алгоритма CryptoNight, надеясь найти хэш, отвечающий определенным критериям, раньше, чем это сделают другие майнеры. Когда это происходит, добывается новый блок, создающий кусок новой монеты (стоимостью около 1500 долларов США на момент написания статьи) и помещающий непредвиденные доходы в кошелек злоумышленника.

Шансы того, что какой-либо конкретный майнер первым найдет следующий блок и получит вознаграждение, ничтожно малы, но заразив достаточное количество процессоров, вы сможете получить приличный поток дохода. Поскольку жертва оплачивает счета за электроэнергию и предоставляет оборудование, затраты злоумышленника незначительны. (См. также раздел Как работает майнинг биткойнов?)

"Проверка концепции"

11 февраля была обнаружена похожая, но гораздо более эффектная атака. Исследователи кибербезопасности Скотт Хельм и Ян Торнтон-Трамп (phat_hobbit) заметили, что сайты от Национальной службы здравоохранения Великобритании до судов США взламывают браузеры посетителей для майнинга Monero.

Виной всему был плагин для преобразования текста в речь, популярный среди англоязычных правительств под названием Browsealoud, который был заражен Coinhive, браузерным майнером Monero, который не обязательно является вредоносным ПО сам по себе: его провайдеры представляют его как законный способ монетизируют трафик, но задают пользователям слишком мало вопросов, по данным Motherboard.

Пока что 2018 год. Но что-то не так. Злоумышленники ничего не заработали: около 24 долларов, которые даже не были выплачены, сообщила Coinhive Motherboard. И, как отметил Хельме, атака могла быть намного хуже: «Злоумышленники внедрили произвольные скрипты на тысячи сайтов, включая многие сайты NHS здесь, в Англии». Они могли украсть кучу чрезвычайно ценных личных данных. Но они этого не сделали.

Более того, учитывая выбранный ими метод атаки, злоумышленники должны были выбрать цели с более высоким трафиком, менее тщательной проверкой и более низким уровнем безопасности: порносайты популярны среди криптомайнеров, потому что они соответствуют этим критериям.

Похоже, угонщики не собирались зарабатывать деньги. Возможно, как выразился Мэтт Берджесс из Wired UK, перефразируя аналитика Malwarebytes Криса Бойда, они «вместо этого создавали доказательство концепции».

Крипто разрушает рекламную модель?

Что это может быть за концепция, Бойд не уточнил. «Посмотрим, какие сумасшедшие вещи можно сделать с помощью этих скриптов», — представил он слова хакеров.

Но у Лукаса Нуцци, старшего аналитика Digital Asset Research, есть идея. «Браузерные майнеры, такие как Coinhive, являются лучшей из существующих реализаций полезного PoW [доказательства работы]», — написал он в Твиттере. "Впервые в истории Интернета веб-сайты могут монетизировать контент, не забрасывая пользователей рекламой".

Потенциал не ограничивается рекламными моделями:

2\ Эти майнеры могут быть реализованы с менее чем 20 строками кода. Википедии не нужно было бы запрашивать пожертвования, если бы они внедрили майнер на основе браузера.

Майнинг в браузере может нарушить существующие модели монетизации для поставщиков веб-контента. Интернет-рекламе, которая раздражает, часто содержит вредоносный код и поддерживает индустрию брокерских услуг, которая ставит под угрозу конфиденциальность и безопасность пользователей, можно отвести вспомогательную роль. Пожертвования — которые, судя по тону призывов Википедии, не сокращают его — также могут потерять свое значение. (См. также Блокчейн может сделать вас, а не Equifax, владельцем ваших данных.)

К сожалению, продолжает Нуцци, хакеры бьют авторитетные сайты в пух и прах, что связывает майнинг браузера с вредоносными программами в общественном сознании и "разбивает надежду на принятие авторитетными сайтами, такими как Википедия".

Салон делает решительный шаг

Возможно, но по крайней мере один авторитетный, хотя и испытывающий затруднения, сайт сделал решительный шаг. Salon стал партнером Coinhive, и 11 февраля — в день разгрома Browsealoud — он начал спрашивать посетителей, использующих блокировщики рекламы, не хотят ли они «блокировать рекламу, позволяя Salon использовать вашу неиспользуемую вычислительную мощность». На странице часто задаваемых вопросов поясняется, что это означает майнинг monero, но не упоминается его ныне печально известный партнер по имени. (См. также Salon хочет использовать ваш компьютер для майнинга криптовалют)

Чтобы оценить удобство работы пользователей, я включил пару блокировщиков рекламы, посетил салон и согласился "подавить рекламу". Это не сработало. Домашняя страница стала полупрозрачной и недоступной для кликов, как иногда бывает, когда обязательное всплывающее окно скрыто блокировщиком рекламы (наличие блокировщика рекламы является необходимым условием для включения криптомайнера). После некоторой возни — вроде тех, которые заставили бы меня искать в другом месте при нормальных обстоятельствах — я начал майнить монеро в обмен на вырезание либеральных комментариев.

Я не видел никакой рекламы, но, конечно же, я использовал блокировщики рекламы. Страница постоянно перезагружала определенные элементы, из-за чего текст проскакивал каждые несколько секунд. Было трудно читать. Немного подозрительно, что счетчики моих блокировщиков рекламы показывали 11 и 29, что указывает на блокировку запросов при каждой перезагрузке.

Я, несомненно, занимался майнингом. До посещения страницы монитор активности моего Macbook не показывал ни одного приложения, использующего более 10% ресурсов ЦП. Во время моего визита Chrome Helper колебался от 50% или около того до — в какой-то момент — 320%. Энергетическое воздействие Chrome также увеличилось до трехзначного числа; среднее значение за 12 часов – 46.

Электронное письмо в PR-фирму Salon с вопросом об опыте работы с браузерным майнингом не получило немедленного ответа. Эта статья будет обновлена с учетом ответов Salon.

Может ли майнинг в браузере работать?

Мое краткое знакомство с браузерным майнингом выявило типичные сбои в бета-версиях. Но энергопотребление — это препятствие, которое небольшие улучшения не решат. Майнеры биткойнов стекаются в Квебек, потому что электричество дешевое. Угонщики майнят с помощью браузеров посетителей по той же причине. Хотя трудно оценить денежный эффект майнинга для Salon, рост потребления электроэнергии был очевиден. Если бы значительная часть Интернета приняла майнинг через браузер, использование Интернета могло бы стать дорогим.

То же самое касается использования оборудования. WannaMine представлял такую проблему, потому что, как выразился Панда, «то, как он пытается максимально использовать процессор и оперативную память, создает большую нагрузку на компьютер». Если сайты не ограничат требования к компьютерам посетителей, процессы будут замедляться до минимума, а оборудование будет изнашиваться значительно быстрее.

Нуцци не сбрасывает со счетов эти проблемы. «Если майнинг на основе браузера станет чем-то особенным, определенно будут злоупотребления, когда дело доходит до количества потоков майнинга, которые потребляет веб-сайт», — сказал он по электронной почте. С другой стороны, «как и реклама, будут способы заблокировать этот скрипт, поэтому веб-сайты должны выяснить, каким должен быть справедливый баланс, иначе пользователи перестанут посещать веб-сайт или заблокируют майнер».

Что касается потребления электроэнергии, то хеш-функция CryptoNight у Monero более легкая, чем, скажем, у биткойна SHA-256. По словам Нуцци, майнинг Monero «не представляет большой проблемы для пользователей ноутбуков», но «определенно ограничивает возможности некоторых вариантов использования смартфонов» из-за их более ограниченной емкости аккумулятора.

Кроме того, существует риск того, что гонка вооружений по скорости хеширования, которая сделала майнинг биткойнов и лайткойнов на ЦП и даже на графических процессорах невыгодным, остановит развитие майнинга в браузерах. Причина, по которой Coinhive и WannaMine используют monero, заключается в том, что это одна из немногих криптовалют, которую можно выгодно добывать с использованием процессора. При правильных экономических стимулах, не может ли Monero также стать жертвой ASIC, специализированного оборудования, предназначенного исключительно для максимально быстрого выполнения хеш-функций?

Нуцци так не думает. Он называет CryptoNight «блестяще спроектированным», добавляя, что он «позволяет добывать Monero с помощью различных устройств, включая смартфоны, поскольку большинство из них имеют не менее 2 ГБ ОЗУ, а для запуска экземпляра CryptoNight требуется всего 2 МБ». для Scrypt (алгоритм консенсуса Litecoin), CryptoNight гораздо более устойчив к интеграции цепей, что позволяет создавать ASIC."

Разработчики Monero также пообещали изменить алгоритм, если будет разработан ASIC. «Из-за такого риска такие производители, как Bitmain, никогда бы не выделили бюджет на исследования и разработки для разработки ASIC Monero», — говорит Нуцци. (См. также Биткойн и лайткойн: в чем разница?)

Давно пора

Если криптомайнинг действительно заменит рекламу в качестве основного способа монетизации онлайн-контента, это будет выполнением одного из первых обещаний криптовалюты.

Аргумент о том, что микроплатежи в биткойнах на сайтах могут разрушить текущую модель, стал жертвой роста комиссий за транзакции, но были предприняты и другие попытки с использованием других токенов, таких как токен Basic Attention браузера Brave, блокирующий рекламу. Но пока пополнение кошелька и компенсация сайтам, чью рекламу вы блокируете, остаются необязательными — как в Brave — модель вряд ли обеспечит сайтам необходимый им доход. (Стоит сказать, что Brave предусматривает место для рекламодателей на своей платформе.)

Нет никаких гарантий, что майнинг в браузере станет популярным или что его влияние на оборудование пользователей и счета за электроэнергию не станет решающим фактором. Однако есть вероятность, что надоедливая, навязчивая, а иногда и вредная реклама или программы, которые вы используете для ее блокировки, скоро исчезнут.

Инвестиции в криптовалюты и другие первичные предложения монет («ICO») очень рискованны и спекулятивны, и эта статья не является рекомендацией Investopedia или автора инвестировать в криптовалюты или другие ICO. Поскольку ситуация каждого человека уникальна, всегда следует консультироваться с квалифицированным специалистом, прежде чем принимать какие-либо финансовые решения. Investopedia не делает никаких заявлений или гарантий относительно точности или своевременности информации, содержащейся здесь. На момент написания этой статьи у автора не было позиции ни в одной криптовалюте.

После нескольких эволюционных шагов с помощью специализированных интегральных схем (ASIC) алгоритмы майнинга, кажется, вернулись к своим корням: «скромному» персональному компьютеру. Пригодность таких алгоритмов, как CryptoNight (который лежит в основе валюты Monero), в конечном итоге привела к переносу исходного кода на JavaScript и отходу от более традиционного подхода, заключающегося в наличии автономных исполняемых файлов для майнинга, вместо выполнения кода из процессов браузера. В этом блоге рассказывается о развитии и современных реалиях майнинга в браузере.

Набор отчетов Radicati Group Market Quadrant за 2018 год

В нашем предыдущем блоге мы рассмотрели основные концепции блокчейна, криптовалют и майнинга монет.

Как мы уже говорили, после нескольких эволюционных шагов с помощью специализированных интегральных схем (ASIC) алгоритмы майнинга вернулись к своим корням: «скромному» персональному компьютеру. Пригодность таких алгоритмов, как CryptoNight (который лежит в основе валюты Monero), в конечном итоге привела к переносу исходного кода на JavaScript и отходу от более традиционного подхода, заключающегося в использовании автономных исполняемых файлов для майнинга вместо выполнения кода внутри процессов браузера.

Начало майнинга в браузере

Этот новый подход означал, что любой браузер, поддерживающий JavaScript, можно было использовать для майнинга монет, и вскоре появились сервисы, использующие этот процесс для монетизации веб-сайтов. Это, естественно, понравилось киберпреступникам, так как теперь не было необходимости в трудоемком процессе развертывания и сохранения двоичных файлов — все, что требовалось, — это простая инъекция кода на веб-страницу.

Недостаток этого решения заключается в том, что, хотя JavaScript не зависит от платформы, он работает в изолированной программной среде браузера, вдали от «голого железа» и, следовательно, от оптимальной производительности. Другим важным аспектом является постоянство: в то время как более ранние реализации на основе ПК и IoT работали практически вечно (или, по крайней мере, до тех пор, пока кто-то не нашел и не убил соответствующий процесс), подход на основе браузера может работать только до тех пор, пока страница, содержащая майнер. остается открытым.

С другой стороны, для злоумышленников веб-подход также обеспечивает дополнительную гибкость: нет необходимости хранить все данные на одной странице. Функциональность и компоненты можно разделить на несколько доменов, а ранее арендованные или взломанные серверы можно (повторно) использовать для новой цели.

Coinhive и др.

Coinhive – это законный сервис, впервые появившийся в середине 2017 года как майнер на основе JavaScript, поддерживающий майнинг Monero (XMR). После встраивания в веб-сайт он использует ресурсы ЦП посетителя для майнинга, тем самым обеспечивая альтернативный источник дохода по сравнению с обычной рекламой. Благодаря относительно быстрой адаптации — что, по крайней мере, частично можно объяснить тем, что The Pirate Bay был одним из первых его сторонников — к концу 2017 года более тысячи веб-сайтов включили его код.

Вскоре на создателей начали указывать пальцем, в основном из-за того, что сайты не всегда давали возможность отказаться от запуска скриптов на компьютерах своих посетителей. Многие даже не удосужились сообщить своим посетителям о том, что их компьютеры используются таким образом.

В ответ Coinhive создал новую версию, которая стала бы доступной, если бы разрешение было дано явно. К сожалению, это не давало никаких гарантий того, что пользователи Coinhive примут новую сборку, особенно те, у кого явные злонамеренные намерения.

Естественно, сильное распространение Coinhive привело к разработке конкурирующих сервисов в конце 2017 – начале 2018 года, а также нескольких простых в использовании плагинов для майнинга для популярных веб-платформ, таких как WordPress.

Веб-сборка

Ключом к большинству программ для майнинга монет в браузере является WebAssembly (сокращенно Wasm): новый формат двоичных инструкций, использующий виртуальную машину на основе стека, разработанную как переносимая цель для языков высокого уровня, таких как C/C++. Его основные цели проектирования включают эффективность времени загрузки и скорость выполнения, близкую к собственной скорости выполнения в изолированной среде с безопасной памятью, то есть в изолированной программной среде JavaScript в браузере. Группа сообщества WebAssembly отвечает за открытый стандарт.

Первая версия WebAssembly с минимальным жизнеспособным продуктом (MVP) была выпущена в марте 2017 года, и в настоящее время этот стандарт поддерживается всеми основными браузерами, включая Firefox, Chrome, WebKit/Safari и Microsoft Edge.

Несмотря на то, что эта технология имеет множество вариантов использования, многие из которых перечислены в проектной документации WebAssembly, легко понять, насколько эта технология понравится разработчикам майнинга монет: майнерам, работающим в браузере, приходится жить со значительным падением производительности по сравнению с «родной» код, и акцент WebAssembly на скорость помогает сократить этот разрыв. Для справки разработчики Coinhive предоставляют следующие рекомендации по производительности:

Конечно, при работе с JavaScript производительность все же немного снижается, но это не так уж плохо. Наш майнер использует WebAssembly и работает примерно на 65% производительнее обычного майнера.

Это вредоносное ПО?

Вопрос о том, является ли майнинг в браузере вредоносным по своей сути, является спорным вопросом, и даже представители индустрии безопасности придерживаются неоднозначных взглядов.

Запуск алгоритма хэширования на чужом компьютере без его ведома является злонамеренным действием: в конечном счете, это присвоение чужих ресурсов без их разрешения. Хотя это не должно навредить данным или целостности машины, это приведет к замедлению отклика ПК и увеличению счета за электроэнергию, особенно если это не будет замечено в течение длительного периода времени.

С другой стороны, выполнение хеширования с согласия пользователя не является злонамеренным действием — по крайней мере, некоторые пользователи могут захотеть запустить эти скрипты, если это означает отсутствие рекламы на веб-сайте. В начале 2018 года сайт Салона экспериментировал с этим подходом.

С этого момента и далее обратите внимание, что когда мы используем термин Coinhive, мы имеем в виду исключительно злоупотребление кодом и услугами Coinhive в целях майнинга без согласия пользователя.

Когда хорошие собаки делают плохие вещи

Злоумышленники быстро придумали несколько схем, чтобы внедрить майнеры в браузеры людей. Расширения Chrome с кодом Coinhive были быстро разработаны, обеспечивая гораздо более высокую отдачу по сравнению с простыми веб-страницами, поскольку майнер запускался всякий раз, когда был открыт браузер. Параллельно был разработан ряд расширений блокировщика Coinhive, чтобы попытаться предотвратить несанкционированный майнинг на веб-сайтах.

Политика Интернет-магазина Google изначально была разрешающей в отношении расширений для майнинга: пока единственной целью расширения был майнинг и пользователь был должным образом проинформирован, оно не было бы заблокировано. Тем не менее, многие не соблюдали эти правила, и в результате Google недавно принял меры по ужесточению правил, фактически запрещающих любые расширения для майнинга в Интернет-магазине Chrome.

Это оставило злоумышленников с испытанным методом внедрения кода веб-сайта.

Как все это работает в реальных условиях?

Майнеры невольно внедряются в код веб-сайтов, компрометируя их, в основном через какую-либо уязвимость. Как и в течение многих лет, это обычно делается путем автоматического сканирования программного обеспечения на наличие известных уязвимостей, и после обнаружения уязвимого веб-сайта происходит его эксплуатация и внедрение вредоносного кода JavaScript.

Поскольку среди киберпреступников высока популярность браузерных майнеров, потенциально уязвимый веб-сайт может быть скомпрометирован более чем одним злоумышленником: например, веб-сайт, показанный ниже, был взломан тремя отдельными киберпреступниками, каждый из которых использует немного разные браузерные инструменты для майнинга. Обратите внимание на отсутствие видимых следов майнеров на самом сайте.

На изображении ниже показана полная цепочка заражения, видимая в перехвате пакета при посещении этого сайта:

К тому времени, когда мы проанализировали сайт, первый из трех майнеров был удален, однако два других все еще работали. Введенный код для этого неактивного майнера показан ниже.

Первый активный майнер — это широко доступный браузерный майнер («Basic Miner» на диаграммах).

Его проще заблокировать с помощью шлюза веб-безопасности, чем второй активный майнер, поскольку он использует минимальное обфускацию и статические домены для ретрансляции трафика майнинга в пулы майнинга через промежуточные прокси-серверы на основе WebSocket. На изображении ниже показана инъекция для «базового майнера».

Многие общедоступные «серые/черные» майнеры также имеют частные версии для подписчиков, которые, как правило, предназначены для того, чтобы их было намного сложнее обнаружить. Второй активный образец («Advanced Miner» на диаграммах) потенциально является одним из них. Его код внедрения показан ниже.

Он использует службу сокращения URL-адресов для извлечения основного скрипта майнинга и использует немного более продвинутую технику запутывания, чем «базовый майнер». основные среди более сложных угроз, таких как наборы эксплойтов.

Интересно, что этот майнер использует как минимум один прокси-сервер с динамическим DNS (см. фрагмент кода ниже) для ретрансляции данных майнинга через соединения WebSocket, что значительно усложняет обнаружение и блокировку.

Сравнение двух активных майнеров

Стоит отметить, что код, лежащий в основе «базового» и «продвинутого» майнеров, очень похож — в целом это относится к большому количеству «диких» майнеров на основе WebAssembly, многие из которых кажутся второстепенными вариантами кодовых баз, доступных на GitHub. Эти «подражатели» в большинстве случаев слегка подправлены, чтобы избежать обнаружения, обычно путем изменения имен функций «творческим образом» (batmanrobin, darkshadow, krypt0n1ght) или путем полного удаления ссылок на исходный код C.

В таблице ниже сравниваются функциональные возможности двух майнеров.

Смягчение

Веб-сокеты

Особенность встроенных в браузер майнеров — использование для связи веб-сокетов. Поскольку процессам, работающим в изолированной программной среде браузера, не разрешено открывать системные сокеты, веб-сокеты были разработаны для обеспечения полнодуплексной асинхронной связи между кодом, работающим на веб-странице, и серверами — например, приложения чата, такие как Slack, активно используют веб-сокеты.< /p>

В результате операторам операций майнинга в браузере необходимо настроить серверы WebSocket для прослушивания подключений от своих майнеров и либо самостоятельно обрабатывать эти данные, если они также управляют собственным пулом майнинга, либо «разворачивать» трафик и пересылать его. в общественный пул, если они этого не делают.

Несмотря на то, что скрипт майнинга монет может появиться на десятках или даже сотнях веб-сайтов, таких серверов WebSocket, вероятно, будет задействовано в любом развертывании значительно меньше, что значительно упрощает блокировку с использованием веб-прокси: нет возможности связываться с пулом майнинга. обычно означает отсутствие майнинга.

Отключение WebAssembly и/или JavaScript

Примечание. Следующие действия выполняются на ваш страх и риск.

Что-то вроде ядерной опции, только Firefox и Chrome поддерживают отключение Wasm по состоянию на апрель 2018 года. Чтобы сделать это, следуйте приведенным ниже инструкциям. Прежде чем сделать это, учтите, что такой подход может помешать нормальной работе все большего числа сайтов по мере дальнейшего внедрения технологии.

В Firefox: перейдите к about:config и установите для javascript.options.wasm значение false

Если отключение Wasm является ядерным вариантом, то полное отключение JavaScript является термоядерным вариантом. Советы по безопасности часто включают в себя рекомендации по плагинам, таким как NoScript, для этой цели. Хотя это значительно повышает безопасность, это снова повлияет на функциональность веб-сайтов, и вам следует подумать, подходит ли это для вашей организации и привычек просмотра.

Выводы и заявление о защите

С постоянно растущей популярностью криптовалют (несмотря на нестабильную стоимость биткойна в 2018 году) неизменный интерес к добыче монет неудивителен.Вопрос для индустрии безопасности тот же, что и выше: вредоносное ли это ПО?

Сведенный к простейшему, процесс майнинга представляет собой не что иное, как арифметические инструкции, выполняемые для решения заранее определенной части головоломки. Само по себе это вряд ли можно считать вредоносным.

Ключевой вопрос заключается в том, происходит ли это действие с явного понимания и одобрения пользователя. Таким образом, полная блокировка всех скриптов майнинга без изучения их контекста не всегда является лучшим подходом.

Forcepoint использует комбинированный подход к обнаружению и блокированию майнеров, связанных со взломанными веб-сайтами, блокируя экземпляры скриптов, которые мы идентифицируем, но, что более важно, блокируя серверы команд/ретрансляторов WebSocket, от которых зависят целые кампании.

Таким образом, клиенты Forcepoint защищены от этой угрозы на следующих этапах атаки:

Этап 5 (файл дроппера) — предотвращается загрузка вредоносных файлов.
Этап 6 (звонок домой) — попытки связаться с сервером C2 блокируются.

Индикаторы компрометации

Примечание. Следующий список IOC не является исчерпывающим и в основном сосредоточен на примерах и кампаниях Wasm, обсуждаемых в этой статье.

После закрытия Coinhive компания Malwarebytes столкнулась с гораздо меньшим числом попыток майнинга криптовалют через сеансы работы пользователей в Интернете. "Мы увеличили количество блоков с десятков миллионов до примерно двух миллионов в день", – говорит один из исследователей.

Вероятность того, что ваш интернет-браузер подвергнется атаке скрытого майнера криптовалюты, явно снизилась.

Атаки на потребителей с использованием криптомайнинга за последний год сократились на 79 %, отчасти из-за того, что в начале марта крупнейший провайдер майнинга криптовалюты Coinhive закрылся, сообщил в четверг антивирусный провайдер Malwarebytes.

Майнер Coinhive работал с помощью компьютерного скрипта, который любой мог установить на веб-сайте. Если ваш браузер столкнулся со скриптом, майнер забрал вычислительную мощность вашего ПК для создания виртуальной валюты под названием Monero. В ответ многие поставщики антивирусных программ начали блокировать майнер Coinhive.

Malwarebytes заявляет, что ее собственный антивирус больше не блокирует столько попыток майнинга криптовалюты. "Мы увеличили количество блоков с десятков миллионов до примерно двух миллионов в день", – сообщил в электронном письме исследователь Джером Сегура.

Coinhive зародился в 2017 году и быстро завоевал репутацию инструмента для зарабатывания денег хакерами. Они тайно разместили скрипт майнинга Coinhive на законных веб-сайтах и в сторонних расширениях браузера, которые они взломали.

Но в феврале Coinhive объявила о закрытии 8 марта, сославшись на спад на рынке криптовалют и трудности с майнингом Monero после «хардфорка» этой валюты. Одна монета Monero теперь стоит 62 доллара США по сравнению с 400 долларов США, достигнутой в январе 2018 года.

Тем не менее, Coinhive вдохновил на создание некоторых подражательных сервисов. «Майнинг в браузере в целом сократился, но есть некоторые претенденты, такие как CryptoLoot и CoinIMP», — добавил Сегура. "Однако большая разница заключается в том, что подавляющее большинство сайтов, которые загружают эти майнеры, являются торрент-порталами или файлообменниками, а не взломанными веб-сайтами, которые мы видели в прошлом".

Поставщики антивирусных программ Symantec и McAfee также заметили снижение числа атак, связанных с майнингом криптовалюты. «Однако закрытие Coinhive не обязательно является движущей силой», — сказал в электронном письме PCMag исследователь McAfee Чарльз Макфарланд. «Проблемы, связанные с популярностью Monero и снижением прибыльности майнинга в целом, скорее всего, сыграли гораздо большую роль в уменьшении числа атак.