原标题:【灾情持续扩大,全球每天新增300个挖矿网站】黑色产业觊觎浏览器挖矿,5亿访客不知电脑变矿工
“天啊!上线8天,用量从每秒10万次,暴增到每秒1,350万次。”足足是135倍的爆量成长。浏览器挖矿服务Coinhive团队在官网第一周营运报告中,毫不隐瞒自己的惊讶,也向数百封抱怨伺服器满载的使用者投诉信,统一致歉。
9月14日,Coinhive刚推出了一项新型态的虚拟货币采矿平台Coinhive,这是一个可在浏览器环境,用JavaScript执行球门罗币(Monero,代号XMR)挖矿计算的服务。上线第一天,每秒只有10万次挖矿杂奏运算(Hash)的API呼叫,但是,到了第8天,Coinhive平台累计的挖矿杂奏运算呼叫次数,就爆冲到每秒1,350万次呼叫,占了门罗币这个全球第六大虚拟货币整体区块Hash值计算量的5%,同时连上Coinhive的WebSocket连线数,多达220万个,若以预设值每台电脑用3个WebSocket连线数估算,非常有73万台电脑成了挖矿机。
原本Coinhive平台所有系统,都部署在单一台伺服器上,Coinhive也紧急在几天内扩充到38台主机规模的分散式丛集(28台WebSocket代理伺服器、6台Web伺服器、2台资料库伺服器和2台维运用VPS),才撑住百倍爆量的需求。
但,Coinhive团队的惊喜,旋即成了全球网民的痛苦。因为许多挖矿电脑的拥有者,并不知道自己的笔电、PC,或是手机,都成了暗中帮陌生人赚钱的挖矿机,CPU运算满载,系统效能迟缓,甚至连打开文书处理软件要写份报告,都要等上好久。
9月15日,全球最大BT种子网站的使用者最先传出灾情,发现每次浏览海盗湾首页,CPU使用率都会突然冲破80%,直到关闭网页才停止。分析网页程式码后发现,海盗湾暗中执行Coinhive程式来挖矿,但没有坦白告知而引用户不满,甚至闹上媒体。
海盗湾事件让Coinhive这个浏览器挖矿程式声名大噪,广大引起的关注,甚至引来了黑色产业的觊觎。趋势科技研发部资深工程师王博荣指出,看上挖矿程式可以无风险地赚取虚拟货币利益,开始有黑色产业滥用Coinhive挖矿程式,将Coinhive挖矿程式恶意植入他人网页。像趋势科技就在9月19日时首次发现,恶名昭彰的恶意广告组织ElTest,展开了植入Coinhive程式偷挖矿的活动,追查之下,早在9月14日,趋势全球用户已有人连上了暗藏Coinhive挖矿程式的网页,最高峰是9月20日,一天内高达7万次连线。
王博荣表示,观测到9月底,嵌入Coinhive挖矿程式的网站,45%是英文语系,又以盗版视频网站和博客为大宗,在台湾也有几个博客上榜,不过多数网站都会首页告知,一旦连上该网页,就会用使用者的CPU来挖扩,若不愿意提供CPU资源也可关闭,让使用者选择。
不过,依照趋势科技的统计,全球每天至少增加300个藏有Coinhive挖矿程式的网站,甚至,95%以上的网站都未经用户同意或告知,就开始偷偷挖矿。
依照趋势的监控,黑色产业最初利用Coinhive的事件是发生在9月19日,EITest利用技术诈骗网页的方式,让用户在不知情的情况下,沦为矿工,王博荣指出,这类的攻击手法,是通过网站伺服器上执行的软件系统,分辨造访网页用户的电脑软件漏洞,并借机植入恶意程式。
举例来说,骇客会发送伪装成微软技术解决的提醒视窗,提醒用户的电脑系统,已经被恶意软件侵害,但是用户却无法关闭该视窗,接着,该网页就就会从Coinhive的伺服器上,下载JavaScript的挖矿脚本,并偷偷将用户的电脑,变成一个矿工。
黑色产业开始觊觎,3周灾情就蔓延全球
黑色产业觊觎浏览器挖矿,灾情越演越烈。知名广告过滤服务AdGuard展开了一项全球性的网站清查,紧急在10月12日公布了结果。AdGuard发现,海盗湾网站不是特例,Alexa排名前10万的网站,有220个网站,暗藏了挖矿程式,其中最大者是在法国排名70大的档案分享平台Uptobox,每月访客数多达6,000万人次,台湾也有4个网站上榜。这批网站每月平均访客,累计多达5亿人次,若不考虑一人造访多个网站的重复情况,可以说,全球这5亿名访客的电脑,都成了挖矿机,在浏览这批网站时,偷偷地暗中挖矿。
这些网站大多没有告知使用者,就像是偷用使用者的浏览器来挖矿,像Uptobox技术长紧急出面解释,暗中执行挖矿程式而未告知,是为了测试新的营收模式,事件曝光后,也承诺会改回原来的网络广告模式。
绑架10万台PC的浏览器挖矿,能获利多少?
根据Check△Point估计,目前每天约可以挖出720个门罗币区块,奖励金合计有4,464个门罗币。而一般PC的算力,启用4个浏览器执行绪时,每秒可以计算出45个Hash值,相较于全球门罗币的算力是每秒2亿6,612.2万个Hash,按算力比例,一台PC执行一天可以赚到0.000754个门罗币。以10月底门罗币每颗约88.46美元的币值,挖矿网站若能绑架10万台PC,连续执行1天挖矿程式,就可以不劳而获,赚到非常于台币20万元的收入。
暗中测试这种靠用户挖矿获利的网站,不只Uptobox,AdGuard后来还发现,美国知名CBS媒体集团旗下,有百万用户的影音串流服务Showtime.com网站也藏了Coinhive程式,直到事件曝光后就移除了,但Showtime拒绝说明这是主动测试还是网站遭骇。
挖矿绑架植入手法开始多元化
这种绑架使用者浏览器暗中挖矿的行为,开始出现一个专有名词“挖矿绑架”(Cryptojacking)来形容,成了专家资安威胁清单上最新一项威胁,趋势科技、Fortinet、Check△Point等资安业者相继投入研究,甚至开始拦截,或列入要阻挡的恶意威胁清单。
如广告过滤软件如AdGuard开始提供阻挡机制,而防毒软件Avast则是当用户浏览这类网站时,直接阻挡挖矿程式码。Check△Point也将这类挖矿绑架的网页视为重大威胁,在自家安全闸道器产品中列入拉黑名单。更有电信业者,如中华电信开始将Coinhive网址列入企业资安黑名单,禁止用户浏览。CDN业者Cloudflare也开始拉黑那些擅自利用使用者电脑资源采矿的帐号与服务。Coinhive官方更因产品遭滥用而出面道歉,并推出了会强制跳出告知说明的新版JavaScript挖矿程式,但,旧版本仍持续服务。
不过,浏览器挖矿技术还在持续变化,而挖矿绑架手法也开始进化,一来开始出现更多种类的挖矿程式,除了Coinhive,还有JSEcoin、CryptoLoot、MineMyTraffic,以及10月底出现的Papoto,有意用浏览器挖矿者开始有更多选择,而资安黑名单要拉黑的挖矿程式网址,也越来越多,甚至防不胜防。
挖矿脚本程式植入手法越来越多元,先前大多是藏在网页页尾程式码中,但最近,网站安全公司Sucuri就发现了好几种新手法,一来是将Coinhive程式码加密,降低被发现的机率,另一种是直接植入知名博客平台WordPress核心网页,如管理模组标头网页admin-header.php,或通用范本档general-template.php中,第三种Sucuri发现的新手法则更难侦测,挖矿脚本程式直接写入了开源电商平台Magento的资料库,当你打开购物车程式,从资料库取出的不是订单资讯,而是要来绑架浏览器的挖矿程式。而资安公司Check△Point则发现,有影音网站跳出的Flash△Video△Player安装提醒视窗中,也会暗中执行挖矿程式。甚至,WordPress已有一项挖矿免费扩充套件,直接安装就可以启用浏览器挖矿功能,来偷用用户的CPU资源。王博荣表示,这款套件预设是不开启使用者告知机制。趋势科技甚至发现了多款含有采矿能力的行动App,利用内建Webview动态载入JavaScript与原生程式码注入来闪避侦测,其中有两款App用的就是Coinhive的挖矿程式。
如何避免自家电脑沦为矿工?
一般用户可以开启系统监控CPU使用率的工具,是否连上特定网页时,CPU使用率突然飙高,关掉网页后却又恢复正常,就可能藏有挖矿程式。或使用Chrome浏览器时,按下F12打开开发者工具,查看Network功能分页,若开启的网页藏有挖矿程式,会出现异常网络流量,或有不寻常的wasm档案。
而在企业端,王博荣建议,因挖矿网站须连回Coinhive伺服器才能进行挖矿作业,因此,企业只要拉黑Coinhive网址的连线行为,就能阻止。目前也有广告过滤程式如AdBlock△Plus和AdGuard可以直接阻挡Coinhive的JavaScript程式,Chrome浏览器也出现了几款专门拉黑挖矿行为的外挂,如AntiMiner、No△Coin、MinerBlock等。
而对网站开发人员而言,王博荣提醒,需注意所用的第三方套件,最好用程式码扫描工具,过滤挖矿程式的API,或是避免出现挖矿程式函式库的连结,也要避用刚推出而未有大量使用者的套件,尤其是整合多功能的复杂套件,应更谨慎。文☉王宏仁、何维涓
iThome△Security
相关:
【软件供应链上游出包,开发老手都难防】挖矿绑架台湾曝光第一例,遭害苦主保哥现身说法
9月19日,保哥(多奇数位创意技术总监黄保翕)在脸书上,公开了自家网站所用聊天外挂工具遭植入Coinhive程式的消息,是台湾网站遭挖矿绑架事件曝光的第一例。 “自己很难主动察觉,”人称保哥的多奇数位创意技术总
趋势:Google Play的部份app暗藏Coinhive采矿工具
趋势科技指出在折扣程式SafetyNet△Wireless中也暗藏了采矿程式。 图片来源: 趋势科技 不只是诸多网站或浏览器扩充程式嵌有虚拟货币采矿工具,趋势科技本周表示,也在Google△Play上发现多款夹带采矿工具的Android
图片来源: Google 不只是浏览器有外挂程式,Google周二(10/24)也发表了第一波支援Gmail的第三方外挂程式,可望强化Gmail的能力。同一天Google也公开释出了Gmail外挂程式框架予所有的开发人员。Google是在今年3月发
Pixel 2上市不久就传出荧幕烙印灾情! Google展开调查
一名用户在推特上贴出在7天不关机使用下,Pixel△2 XL手机荧幕就出现下方虚拟按键的烙印。 图片来源: Twitter Google二周前才发表第2代旗舰级手机Pixel△2及Pixel△2? XL,却传出多起手机荧幕出现烙印现象。?一名使
开发人员福音! Mozilla、微软、Google与三星将集中各家浏览器网页开发文件
图片来源: MDN△Web△Docs Mozilla于周三(10/18)宣布,微软、Google、三星与全球资讯网络联盟(World△Wide△Web△Consortium,W3C)已同意把各家浏览器的网页开发文件统一存放在Mozilla的MDN△Web△Docs网站上,以