Cryptojacking itthon

forrás: Prím Online, 2017. december 30. 13:04

Több magyar mainstream hír oldal is átvette, hogy egyre több weboldal használja a látogatóinak számítógépét bitcoin bányászatra. Mivel ez a jelenség tényleg egyre inkább terjedőben van, a TMSI Kft. úgy gondolta összeszedik a gondolataikat az úgynevezett cryptojackinggel kapcsolatban, és megpróbálnak utánajárni, hogy az itthoni weboldalakra mennyire jellemző ez az új fenyegetettség.

 

Mi az a Cryptojacking?

Böngészőben végzett kriptovaluta bányászat, amely az utóbbi időben nagyon népszerűvé vált. Amikor egy felhasználó meglátogat egy weboldalt, egy bányász kód indul el a böngészőben. Amíg a weboldal nyitva van, a bányászat folytatódik így bitcoin-t (bevételt termel a látogató a weboldal tulajdonosának).

 

Az ilyen bevételi forrást használó webhelyek túlnyomó többsége nem figyelmezteti a látogatókat a bányászatról, és nem kéri engedélyét. Ez egy etikátlan és potenciálisan káros stratégia, ami ellen küzdeni kell.

 

Az alább látható Google Trend képen jól látható, hogy a cryptojacking témakörre egyre jobban keresnek világszerte.

 

 

 

Cryptojacking hálózatok

Jelenleg 13 olyan publikus aktív bitcoin és egyéb kriptopénz bányász hálózatról tudunk, amely webes bányász lehetőséget is biztosít a hozzájuk csatlakozónak.

 

 

 

Magyar érintettség

Az alábbi Google trend statisztikán tisztán látszik, hogy Magyarországon is elkezdődtek a keresések a legnagyobb hálózatok után. Csak úgy, mint világszerte, itthon is a CoinHive utáni keresések uralják a webes kriptovaluta bányászati lehetőségek után kutatók kereséseit.

 

 

 

Megpróbáltuk felmérni, hány magyar weboldal bányásztat látogatóival kriptopénzt. Biztosak vagyunk benne, hogy az általunk talált számok csak egy kis szeletét képezik az érintett weboldalaknak.

 

Egyrészt több olyan magyar weboldalt találtunk, amelyen csak ideig-óráig volt kint a CoinHive szkriptje, ennek egyik oka lehet, hogy csak a látogatottsági csúcsidőszakban rakják ki a scriptet egyes weboldalak, másik oka az lehet, hogy sokszor nem a weboldal tulajdonosa rakja ki a scriptet, hanem ismeretlen hackerek rejtik el azt a kódban.

 

Illetve az is valószínű, hogy a profibb hackerek, illetve a képzettebb weboldal tulajdonosok elkezdtek már használni különböző javascript rejtési technikákat (javascript obsfucating), hogy a látogatók, illetve programok számára megnehezítsék a detektálást. Az érintett magyar weboldalak felkutatásához saját fejlesztésű scriptünk mellett az alábbi publikus eszközöket használtuk: publicwww.com, shodan.io, wappalyzer.com

 

A wappalyzer statisztikái szerint:

243 darab .hu vagy második szintű .hu közdomainnel rendelkező weboldal tartalmaz vagy tartalmazott (a felmérés pillanatában) valamilyen kriptovaluta bányász scriptet (a 13 script közül az egyiket).

 

A publicwww statisztikái szerint (SITE:HU “COINHIVE.MIN.JS”):

41 darab olyan weboldal van, ami a CoinHive scriptjét tartalmazza, vagy tartalmazta az utolsó átnézéskor. Fontos megjegyezni, hogy a keresést az ingyenes csomaggal végeztük, amely „csak” az Alexa Top 3 millió weboldala között keres.

 

A shodan.io statisztikái szerint: (HTTP.HTML:COINHIVE.MIN.JS):

Nem találtunk magyar weboldalt, amely tartalmazná a CoinHive scriptet. Az egész világra vetítve is csak 437 találatot adott vissza a shodan. Azonban ez nem meglepő, hisz a shodan nem domain nevek között keres, hanem IP címek között, igy rengeteg lehetséges találattól esünk el (pl.: megosztott tárhelyeken található weboldalak, stb.)

 

Saját script (CoinHive és JSECoin után kutat):

Több, mint 100 db .hu domain-t találtunk, amelyen CoinHive vagy JSECoin script található.

 

A magyar érintettek között a közös pont az, hogy egyiknél sem tájékoztatják a látogatót arról, hogy a weboldal kriptopénzt bányásztat a számítógépével. Illetve, a kutatás ideje alatt több weboldal beszüntette a script használatát (ennek oka lehet, hogy csak kipróbálták, mennyit lehet keresni ezzel a módszerrel, vagy a scriptet nem a tulajdonos helyezte el oda, hanem hackerek, és a lebukás után a weboldal tulajdonos kiszedte a programot a weboldalból.)

 

Védekezési lehetőségek

Böngésző pluginek:

Azoknak az embereknek, akik jártasabbak az informatikában ajánljuk a NoScript bővítményt, melynek segítségével kontroll alatt tarthatjuk, hogy mely scriptek futhatnak, és melyek nem egy weboldal meglátogatásakor.

 

Azoknak, akik kicsit járatlanabbak az informatika világában, ajánljuk a speciálisan erre a célra készült kiegészítőket: NoCoin, MinerBlock, NoMiner

 

Megfelelő vírusirtó választása:

A jól felkészült vírusírtók már detektálják és blokkolják a weboldalakon elhelyezett kriptovaluta-bányász szkripteket.

A Sophos végpontvédelmi termékei már úgynevezett PUA (potentially unwanted application) programnak detektálják a cryptojacking programokat, és blokkolják őket.

 

Összefoglaló:

Látszik, hogy a jövőben a kiberfenyegetettségek között előkelő helyre fog kerülni a cryptojacking. Mire sikerült a vírusvédelmi és IT biztonsági cégeknek reagálni a ransomware-k okozta pánikra, addigra már itt is a következő kihívás. A weboldal alapú pénzbányászás jó lehetőség a hackereknek, mert egy lépés kihagyásával (nem kell megfertőzni a látogatókat) és még észrevehetetlenebbül kereshetnek pénzt.

 

Schaffer Konstantin / TMSI Kft.