Cryptojacking — Ransomware 2018?

Буйными красками расцветает идея кражи вычислительных ресурсов, даже придумали новое слово — рисуйте в слайды, скоро конференеции — Cryptojacking. Раньше, лет так 5 назад, пугать конкретно этим типом злодейства (кража мощностей) было тяжелее — ну захостится кто-то злой, ну хэши побрутит, подумаешь большое дело. Теперь Cryptojacking (или Driveby Mining — как один из самых популярных видов) — набирает обороты как угроза с существенным ущербом.  С другой стороне в мире сие не считается преступлением, скорее неэтичным деянием (но это пока).  Почему же именно теперь так резко стали бояться?

Для начала полистаем подборку историй болезней, осознаем, так сказать, явление во всей красе.

  • Взломанные (но это не точно, ибо см. ниже) сайты, загружающие скрипты для майнинга на посетителей. Явление тиражируется (в природе уже есть «фабрики» по 2500 сайтов) ибо может быть побочным достижением при взломе сайта (в том числе автоматизированном).
  • НеВзломанные сайты («Ой меня хакеры замайнили» или серые схемы монетизации сайтов): аналогично с другими кейсами, когда инсайдером при помощи заражения/хакерской атаки обеспечивается отказуемость слива данных или кражи. Скрипты в свои страницы «на излёте» могут вставлять сами владельцы — как альтернативу рекламе и донату. Отдельная благодарность за этот канал монетизации будет у пиратских сайтов. Им нечего терять, а пользователи будут готовы потерпеть (лучше чистая крипта, чем протроянивание).
  • Особенно «вкусными»  для взлома становятся cайт-конструкторы и прочие CMS — wordpress как обычно лидирует и т.д.. Используются как сами движки так и плагины, причём в случае с плагинами — зачем что-то ломать если можно сделать свой и раздать (но однажды могут забанить — и здесь привет оперативности безопасной разработки и прочим правильным практикам).
  • А когда совсем забанят — поискать новые обильные пастбища — такие как этот livechat widget, вербующий шахтёров на 1500 сайтах. Уверен грядут эпидемии по этому сценарию на тысячи сайтов (прислушивайтесь к шуму кулеров/темературе ноута).
  • Опять же не забываем про богатый арсенал мирового разума в тактике веб-атак: обфусцируем js, перезальем его туда-сюда от блокировки по домену (oinhive777.com!!! ЕВПОЧЯ), накатим апдейт на старо-дырявые сайты, чтобы майнили.
  • … но и обогатим арсенал — например можно продолжить майнить даже если неразумный пользователь вздумал бросить кирку закрыл браузер.
  • Ну а если уж отвлеклись от вебушки — погнали по всем векторам. Например уязвимости в MS Windows Server 2003…. вжух и mining. Что интересно с этим случаем — end-of-life уже случился с ней. А тут как — умерла так умерла, даже если производители выпустят экстренный патч, о покойниках мало кто вспомнит. Угадайте где ещё много плохо обновляемых и неподдерживаемых систем (IoT/SCADA miners? пока не нашел)
  • А вот маняще-майнящие игры под Андроид (левые apk-шечки конечно, но то такое). Кстати всё честно справедливо — майнишь копеечку автору игры, он тебе отдаёт игровыми фантиками. И энерго-эффективно — майним пока ночью стоим на зарядке.
  • Кстати не избежали возможности помайнить и расширения для браузеров — таких уже было в количестве. Есть даже вежливый майнер спрашивающий разрешения помайнить. Кстати что интересно — неэтично ведут себя не только те кто встраивают майнеры — попытки легитимизировать майнинг не находят понимания у антивирусных компаний, блочат всё подряд.
  • Возвращаясь в корпоративный мир — как бы уже началось:  корпоративные ресурсы как пользовательский сегмент, так и серверные мощности — слишком долго стояли без дела. Поприветствуем новый вид внутреннего фрода.
  • Ну и чтобы окончательно стал понятен размах готовящегося в 2018 криптопраздника: угон wifi в кафе (классика!) для инъекции майнинг-скриптов. С детальным прохождением и моделью для сборки.

Почему так грустно и не хочется гулять обеспокоена общественность этим новым-старым бедствием? Можно предположить несколько вероятных поводов для страхов:

  1. Возможность прямого финансового ущерба, например при использовании внешних облаков по корп.подписке
  2. Нарушения в работе — запуск новых «грузящих» систему процессов может потревожить ИТ-системы со слабым здоровьем
  3. Обвинения в «зарабатывании на клиентах» — начиная с приложения или сайта и вплоть до примера с публичным wifi. А как мы видим — виноват вполне может быть «чужой» компонент — но ты попробуй докажи.
  4. С точки зрения пользовательской — всё вышеперечисленное очень сажает батарейку, что в нынешних беспроводных условиях удручит любого.
  5. Ну и наконец — криптохайп и в частности cryptojacking — в очередной раз всколыхнет интерес ко всему уязвимому с вполне понятными намерениями (а там может и ещё чего интересного найдётся). «Старых уязвимостей» не бывает.

Кстати интересно, что пока все хотели плакать с WannaCry, незамеченной прошла кампания Adylkuzz, использующего тот же самый EternalBlue. И угадайте что? Дадада — он майнил. И он работал очень тихо да ещё и «дверь за собой закрывал».  Так что весьма вероятно следующие WannaCry’и будут гораздо нежнее со своими жертвами. Вот так выглядит типовой сценарий (спойлер — никто не умер):

… 64 core Linux server … hacked on April 15 to mine Monero coins. The hack went through a cups (< 2.03) bug, unpatched in the latest patched CentOS 7.3 distro, allowing to install without any remote login a vmware image. Then a user «support» was created, using the monero binary over the 64 cores (they missed to use 256 possible threads actually) over the Easter week-end, and communicating with chinese ip addresses. Every 5 min the crontab file was ensuring the hack would restart in case of interruption.

Зацепившись за первую из статей я на пару часов выпал в криптомир и помимо обзора выше — попробовал кое что поделать руками (чего и всем желаю). Так что теперь можно например здесь повключать майнинг (тот самый — легитимный, в браузере) и посмотреть/послушать как оно ест ваш процессор.

 

coinhiveКстати не торопитесь выключать — после 10 миллиардов хэшей — суперигра!

Ну а потом (как и я) с удивлением обнаружить на некоторых сайтах похожее поведение и пойти за таблетками — например новая Opera «из коробки» детектирует шумные работы по выходным, в других — есть соответствующие плагины

Вот такой получился обзор страхов про #cryptojacking и #drivebymining.

Хорошо вам догулять праздники, майните с нами, майнтие сами!

АК

 

Cryptojacking — Ransomware 2018?: Один комментарий

Добавьте свой

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

Create a website or blog at WordPress.com Тема: Baskerville 2, автор: Anders Noren.

Вверх ↑

%d такие блоггеры, как: