歡迎來到上海仝薪網絡科技有限公司官網,上海網站建設公司上海網站制作公司微信網站上海競價托管公司
咨詢,就免費贈送域名與服務器,咨詢熱線:13761675098當前位置: 競價外包 > 建站知識 > 網站建設知識 >
聯系我們
電話咨詢:13761675098
E-mail:[email protected]
地址: 上海市金園一路1118弄

一年內成為網絡安全頭號敵人,挖礦代碼如何黑遍各大網站

作者/整理:admin 來源:互聯網 2018-03-30

【獵云網(微信號:lieyun)】 3 月 30 日報道(編譯:群保姆)

多家安全公司最近將加密貨幣挖礦服務Coinhive定為Web用戶最大的威脅,這歸咎于使用Coinhive的代碼的網站被黑客入侵,竊取了訪客設備的處理能力。本文探討Coinhive在推出不到一年后如何躍居威脅排行榜第一,并探索關于這個服務背后參與者的身份線索。

Coinhive是一種加密貨幣挖礦服務,靠的是一小段嵌入網站的代碼。該代碼借用訪問網站的瀏覽器的部分或全部計算能力,將該機器列到一個競價系統中,用于挖掘Monero加密貨幣。

Monero與比特幣的不同之處在于,交易是不可追溯的,外部人無法追蹤雙方之間的Monero交易。自然,這種特性使得Monero對于網絡犯罪分子特別有吸引力。

Coinhive去年夏天發布了它的挖礦代碼,宣稱站長們不需要投放侵入性、討厭的廣告也可以獲得收入。但后來Coinhive的代碼已成為多家安全公司追蹤的頭號惡意軟件。這是因為大部分情況下代碼都安裝在被黑的網站上,所有者不知情也未授權。

就像被惡意軟件或特洛伊木馬感染一樣,Coinhive的代碼經常會鎖定用戶的瀏覽器,并耗盡設備的電池,只要訪問者瀏覽網站,它就會全程挖掘Monero。

目前有近32, 000 個網站運行Coinhive的JavaScript礦機代碼。很難說其中有多少網站有意安裝了這些代碼,近幾個月來黑客已經秘密地將代碼嵌入到了一些非常流行的網站上,包括“洛杉磯時報”官網、移動設備制造商Blackberry、Politifact 和Showtime。

而且代碼還在一些意想不到的地方出現。 12 月,Coinhive代碼被發現嵌入在布宜諾斯艾利斯星巴克Wi-Fi熱點的所有網頁中。 1 月的大約一周時間里,Coinhive被發現隱藏在日本、法國、意大利、西班牙和中國臺灣的YouTube廣告內(通過Google的DoubleClick平臺)。 2 月,Coinhive在Textalp提供的“Browsealoud”上被發現,該服務為視障人士朗讀網頁。除了一些美國和加拿大政府網站之外,該服務還在英國許多政府網站得到廣泛使用。

Coinhive會從中得到什么?無論網站是否同意運行它,Coinhive都會從網站獲得的Monero加密貨幣抽成30%。該代碼與一個特殊的密鑰綁定,密鑰標識哪個用戶帳戶會收到另外70%的收入。

Coinhive確實接受投訴,但它通常只回應被黑網站主人的投訴(對大部分第三方提出的投訴不予理睬)。更糟糕的是,當Coinhive對投訴作出回應時,它只是讓秘鑰失效而已。

但據安全專家Troy Mursch說,他花很多時間跟蹤Coinhive和其他“密碼劫持”請求,解綁密鑰并不會阻止Coinhive的代碼繼續在黑客攻擊的網站上挖掘Monero。一旦密鑰失效,挖掘的加密貨幣會100%歸Coinhive所有。

Mursch說,Coinhive似乎毫無動力監控濫用代碼的行為。

他們'終止'一個密鑰時,只是禁用了平臺上的用戶,不會阻止惡意JavaScript運行,這只是意味著關聯的Coinhive用戶不會得到報酬。代碼一直在運行,而Coinhive獲得了所有的收入。也許他們對此無能為力,或者他們不想。但只要代碼仍然在黑客攻擊的網站上,它一直在賺錢。

對于這種明顯的利益相關,Coinhive的回應很官方,聲稱正在努力修正。

“我們在假設網站密鑰是不可改變的前提下開發了Coinhive,”Coinhive回復道。“用戶無法刪除站點密鑰。這極大地簡化了最初的開發。我們可以在WebSocket服務器上緩存站點密鑰,而不是從每個新客戶端的數據庫重新加載它們。我們正在研究一種機制將密鑰的失效告知WebSocket服務器。”

AUTHEDMINE代碼誕生

Coinhive通過發布新版本“AuthedMine”來回應這種批評,該代碼旨在運行Monero挖掘腳本之前先征求網站訪問者的授權。Coinhive號稱使用其平臺的挖礦活動中約35%來自使用AuthedMine的網站。

但根據 2 月份由安全公司Malwarebytes發布的報告,與不需要網站訪客允許的挖礦代碼相比,AuthedMine代碼“幾乎沒人使用”。Malwarebytes的病毒警報數據顯示,涉及Coinhive的挖礦代碼的所有案例中,AuthedMine的使用率略高于百分之一。

插圖:以上統計數據顯示 1 月 10 日至 2 月 7 日期間每天Malwarebytes阻止AuthedMine和Coinhive的連接次數。

當被要求評論Malwarebytes的調查結果時,Coinhive回答說,如果使用AuthedMine的人相對較少,這可能是因為像Malwarebytes這樣的反惡意軟件公司已經讓人們無利可圖。

“他們認為可供選擇的版本是威脅并阻止它,”Coinhive說。 “沒有人會使用AuthedMine,因為它被殺毒軟件阻止了? 如果殺毒軟件認為“挖礦不好”,那么采礦就是不好的。”

同樣,源代碼跟蹤站點publicwww.com的數據顯示,大約32, 000 個站點正在運行原始Coinhive挖礦腳本,而該站點列出的運行AuthedMine的站點僅有1, 200 個。

Cionhive到底是誰?

根據Coinhive網站的原先的一份聲明,Coinhive誕生于德語圖像托管和論壇pr0gramm.com的一項實驗。

的確,pr0gramm.com上的多個討論主題顯示,Coinhive的代碼在 2017 年 7 月的第三周首次出現。當時實驗被稱為“pr0miner”,并且這些線索表明負責pr0miner的核心程序員使用 pr0gramm上的昵稱“int13h”。Coinhive證實“當時大部分工作都是由int13h完成的,他仍然在我們的團隊中。”

當被要求解釋為什么與pr0gramm關系那段聲明被刪除, Coinhive說是為了圖便利:

“pr0gramm由幾個好朋友發起,我們過去曾幫助他們完成基礎設施和各種項目。 他們讓我們用pr0gramm作為挖礦的試驗臺,并讓我們用他們的名字來獲得更多的背書。對于小白來說,發布一個新平臺很困難。后來我們小有名氣,就不再需要這個聲明。”

在被要求澄清其聲明中提到的“平臺”(“我們是自籌資金并且在過去 11 年一直運行這個平臺”)時,Coinhive回答說:“對不起,沒有寫得更清楚:'這個平臺'的確是pr0gramm“。

也許可以通過確定pr0gramm論壇管理員的身份來找出誰在運行Coinhive。如果他們不是同一批人,那么pr0gramm管理員肯定會知道Coinhive背后的人是誰。

誰是pr0gramm的所有者?

試圖找出誰在運行pr0gramm并不容易,但最終所有信息都在網上找到了。

收集的所有數據來源于域名注冊網站WHOIS,或者來自各種社交媒體網絡 上pr0gramm管理員自己公布的信息。換句話說,這項調查中所有內容都是pr0gramm管理員自己放到網上的。

從pr0gramm域名開始,像其他許多與此調查相關的域名一樣,最初是注冊人是Matthias Moench博士。 Moench先生只是略有關聯,很難說他是一個有罪的垃圾郵件發送者和兇手,本文最后一部分解釋了誰是Moench先生以及他為什么會與這么多的域名所關聯。他本身是個有意思而又很可怕的故事。

pr0gramm最初與一家成人網站相關聯,該網站與兩家十多年前在內華達州拉斯維加斯注冊的公司有關系。Eroxell Limited和Dustweb Inc這兩家公司都表示他們參與了某種形式的在線廣告。

Eroxell、Dustweb以及幾個與pr0gramm相關的網站(例如pr0mining.com,pr0mart.de,pr0shop.com)都與一個名叫Reinhard Fuerstberger的德國男子相關,該男子的域名注冊記錄里有電子郵件地址admin @ pr0gramm.com。 Eroxell和Dustweb也分別與一家在西班牙注冊的名為Suntainment SL的公司有關系,Fuerstberger很明顯是這家西班牙公司的所有者。

正如pr0gramm網站上所述,論壇于 2007 年開始,作為德語留言板,源自于一個自動化的機器人,它可以索引和顯示被發布到Quake(廣受歡迎的第一人稱射擊游戲)相關的在線聊天頻道的圖片。

隨著論壇用戶群的增長,網站緩存圖片的多樣性也在增長,pr0gramm開始提供付費的所謂“pr0mium”帳戶,允許用戶查看“辦公室不宜”圖片并在討論區發表評論。當pr0gramm去年 7 月首次推出pr0miner(Coinhive的前身)時,它邀請pr0gramm會員在他們自己的網站上試用這些代碼,并且提供pr0mium積分作為獎勵。

pr0gramm上的一個關于pr0miner的帖子,后來被稱為Coinhive的前身。

火衛一和火衛二

Pr0gramm于 2007 年底由來自德國的Quake愛好者Dominic Szablewski發起,他是一位電腦專家,在pr0gramm上以他的網名“cha0s”而聞名。

在pr0gramm開始的時候,Szbalewski運行了一個名為chaosquake.de的Quake討論板,以及一個個人博客phoboslab.org。發現這一點的原因是phoboslab和pr0gramm曾共享過相同的Google Analytics跟蹤代碼(UA-571256)。

Szablewski通過電子郵件表示,他不想就這件事做評論,不過他提到幾年前就將pr0gramm賣給了一個不透露身份的人。

多位pr0gramm老會員指出,由于cha0s作為管理員離開,該論壇已經具有民粹主義極右政治傾向。Fuerstberger 先生在各種社交媒體網站上稱自己是“政治上不正確的巴伐利亞分離主義者”。更重要的是,pr0gramm上有大量充滿仇恨情緒的針對某些的種族或宗教團體的帖子。

Fuerstberger回復電子郵件說,他不知道pr0gramm被用來散發Coinhive。

“我可以向你保證,我在本周早些時候才第一次聽說Coinhive,”他說。 “我保證Suntainment公司與它無關。我與Pr0gram也沒有任何關系。這是我的合作伙伴干的。當發現我的公司被利用時,我感到非常震驚。”

下面是“思維導圖”,用于跟蹤本調查中提到的各種名字、電子郵件和網站之間的關系。

用于跟蹤和梳理對pr0gramm和Coinhive的調查,這張思維導圖是用Mindnode Pro for Mac創建的。

GAMB

通過查詢WHOIS上關于pr0gramm (Eroxell Ltd)相關聯的美國公司,Fuerstberger的合作伙伴,目前是pr0gramm管理員的身份,他的昵稱叫“Gamb”。在Eroxell注冊的許多域名中,有一個是deimoslab .com,它在曾經是一個銷售電子產品的網站。從 2010 年的網站副本可以看出,deimoslab的所有者也使用了Gamb這個昵稱。Deimos和Phobos是火星這兩顆衛星的名字。他們還提到電腦游戲“Doom”中的第四和第五級別的名稱。另外,它們是在游戲Quake2 中兩艘宇宙飛船的名稱。

2010 年Deimoslab.com截圖(感謝archive.org)顯示用戶“Gamb”掌管該網站。

在pr0gramm.com長期使用的Internet地址上進行DNS查詢,deimoslab.com曾與其他幾個域共享服務器,其中包括phpeditor.de。根據對phpeditor.de的歷史WHOIS查詢,該域名最初由德國Gross-Gerau的Andre Krumb注冊。

當發現這種關系時,仍然找不到任何Krumb關聯到“gamb”的信息,這是pr0gramm當前管理員的昵稱。直到在網上搜索包含“ “Gamb”的論壇帳戶。

Krumb強調一些令人無法相信的事情:Coinhive只是一個人的成果,那個人叫int13h。

“Coinhive與Suntainment或Suntainment的永久雇員毫無關系,”Krumb在一封電子郵件中說,拒絕透露有關int13h的任何信息。 “這也不是你正在尋找的人,只是一個有時候為Suntainment工作的自由職業者。”

在收到Fuerstberger先生和Krumb先生的電子郵件回復后,很快就收到了Coinhive的電子郵件。

“一些參與pr0gramm的人聯系了我們,說他們正在被你勒索,”Coinhive寫道。 “他們希望匿名運行pr0gramm,因為管理員和版主以前都曾被別人騷擾。我相信你應該與此相關。你將他們推到絕境,這當然正是你想要的效果。我們不得不贊賞你查找信息的效率,但我們認為這樣做的策略是可疑的。”

“我們想再次說清楚,Coinhive目前的狀態與pr0gramm或其所有者無關,”Coinhive說。“我們在pr0gramm上測試了礦機的'玩具實施',因為他們的社區對這樣的事情比較寬容。 僅此而已。”

3 月 22 日,Coinhive的人又發來一封跟進的電子郵件,他們咨詢了法律團隊,決定在他們的網站上添加一些聯系信息。

Coinhive于 3 月 22 日在其網站上提供的“法律信息”。

此外,coinhive.com / legal這個網頁上列出了德國Kaiserlautern的一家名為Badges2Go UG的公司。業務記錄顯示Badges2Go是一家有限責任公司,于 2017 年 4 月成立,由法蘭克福的Sylvia Klein管理。Klein的LinkedIn簡介顯示,她是德國幾個組織的首席執行官,其中一個叫做Blockchain Future。

“我成立了Badges2Go,孵化有發展前景的網頁端和移動應用,”Klein說。 “Coinhive就是其中之一。 現在我們在評估潛力并修復后續規劃,使服務更為專業化。”

Matthias Moench博士的奇異故事

基于上面思維導圖中分享的網站注冊數據,還有一件佚事需要分享。如前所述,讀者可以看到許多與pr0gramm論壇管理員關聯的域名最初是注冊給名為Dr. Matthias Moench的。

于 2018 年 1 月首次開始這項調查時,以為Moench先生是用來掩人耳目的假名。 但事實是,Moench博士確實是一個真正的人,而且是一個非常可怕的人。

據德國日報“Die Welt” 2014 年的一篇令人心寒的報道,Moench是德國一個富有的企業家的兒子,他在 1988 年 19 歲時因雇一名土耳其男子謀殺他的父母而被定罪。Die Welt說: Moench雇用的兇手用一把砍刀去砍死父母和寵物獅子狗。據報道,后來Moench解釋了他的行為,稱他很不高興他的父母為他的 18 歲生日給他買了一輛二手車,而不是他一直想要的法拉利。

1989 年的Matthias Moench博士,圖片來自Welt.de

Moench博士最終被定罪并背叛在青少年拘留所關押九年,但他只服刑五年。 釋放后,Moench聲稱他找到了宗教并希望成為一名牧師。

然而后來,Moench放棄了當牧師的想法,決定成為垃圾郵件發送者。多年來,他一直在群發治療勃起功能障礙藥物的垃圾郵件,據報道他的各種垃圾郵件生意至少賺取了 2150 萬歐元。

Moench先生再次被捕并接受審判。 2015 年,他和其他幾名共同被告被判有欺詐和與毒品有關的罪名。Moench被判處六年有期徒刑。根據Moench童年時代Die Welt故事的作者Lars-Marten Nagel的說法,德國檢察官預計Moench將在今年晚些時候從監獄釋放。

將pr0gramm管理員與Moench先生聯系起來可能很有吸引力,但這里幾乎沒有任何聯系。來自 2006 年的一篇令人難以置信的詳細博客文章試圖確定Matthias Moench的身份,他被稱為這么多域名的原始注冊人(他們的數量在數以萬計),他發現Moench本人在幾個互聯網論壇上表示,他的姓名和在德國和捷克郵寄地址可以被任何想要隱藏自己身份的垃圾郵件發送者或騙子自由使用。顯然,很多人都接受了他的好意。

在這個報道發布后不久,phoboslab.org,pr0gramm.com的創始人Dominic Szablewski的個人博客發布了更新。Szablewski聲稱負責啟動Coinhive。至于現在誰在運行它,是這樣的:

“ 2007 年我為自己的小圈子開發了一個簡單的圖像討論版,就是pr0gramm。多年來,這個討論版已經發展壯大。當 2015 年的一些巨頭找出來誰是pr0gramm的運營者,我收到了各種死亡威脅。 我決定退出并出售pr0gramm。我仍然在幕后開展pr0gramm工作,并不時幫助解決技術問題,但完全放棄了控制權。”

“ 2007 年我為自己的小圈子開發了一個簡單的圖像討論版,就是pr0gramm。多年來,這個討論版已經發展壯大。當 2015 年的一些惡人找出來誰是pr0gramm的運營者,我收到了各種死亡威脅。 我決定退出并出售pr0gramm。我仍然在幕后開展pr0gramm工作,并不時幫助解決技術問題,但放棄了控制權。”

“幾個月后,我啟動了Coinhive,并很快意識到我無法單獨做到這一點。所以我尋找一個可以接管的人。”

“我找到一家公司對成立新公司感興趣。他們已經接管了Coinhive,現在正在進行徹底的改革。”

重庆时时彩官方网站app