大渡口资讯网
热点专题
当前位置: 首页 >> 热点专题 >> 正文

一年成为全网公敌,这段挖矿代码如何黑遍了各大网站?


文章作者:www.vivapinoy.com 发布时间:2020-01-11 点击:1908



许多安全公司最近将加密货币挖掘服务Coinhive指定为网络用户面临的最大威胁,这是因为使用Coinhive代码的网站遭到黑客攻击,访客设备的处理能力被窃取。本文讨论了Coinhive在推出后不到一年的时间里如何登上威胁列表的首位,并探索了这项服务背后参与者的身份线索。

Coinhive是一种加密的货币挖掘服务,它依赖于嵌入在网站中的一小部分代码。该代码使用访问网站的浏览器的部分或全部计算能力,将机器列入一个挖掘蒙乃洛加密货币的投标系统。

Monero和比特币的区别在于交易无法追踪,外人也无法追踪双方之间的Monero交易。自然,这一特性使蒙乃洛对网络罪犯特别有吸引力。

Coinhive去年夏天发布了它的挖掘代码,声称网站管理员不需要投放侵扰性和烦人的广告来赚取收入。但是Coinhive的代码已经成为几家安全公司追踪的头号恶意软件。这是因为在大多数情况下,代码安装在被黑客攻击的网站上,而所有者并不知道或授权它。

就像被恶意软件或特洛伊木马感染一样,Coinhive的代码经常锁定用户的浏览器,耗尽设备的电池。只要访问者浏览网站,它就会一路挖掘莫内罗。

目前,有近32,000个网站运行Coinhive的JavaScript挖掘代码。很难说这些网站中有多少是故意安装这些代码的。最近几个月,黑客已经秘密地将这些代码嵌入一些非常受欢迎的网站,包括“洛杉矶时报”官方网站、移动设备制造商黑莓、Politifact和Showtime。

代码仍然出现在一些意想不到的地方。12月,布宜诺斯艾利斯星巴克无线热点的所有网页都嵌入了硬币密码。今年1月,在日本、法国、意大利、西班牙和中国台湾的YouTube广告中(通过谷歌的双击平台),发现了隐藏了大约一周的硬币。今年2月,在为视力受损者阅读网页的Textalp提供的“大声浏览”网站上发现了Coinhive。除了一些美国和加拿大政府网站外,这项服务还被许多英国政府网站广泛使用。“硬币”会从中得到什么?无论该网站是否同意运行,Coinhive将获得从该网站获得的Monero加密货币的30%。该代码绑定到一个特殊的密钥上,该密钥可以识别哪个用户帐户将获得另外70%的收入。

Coinhive确实接受投诉,但它通常只回应黑客网站所有者的投诉(忽略大多数第三方的投诉)。更糟糕的是,当Coinhive响应投诉时,它只会使密钥失效。

但是根据安全专家特洛伊默施(Troy Mursch)的说法,他花了很多时间跟踪Coinhive和其他“密码劫持”请求。解除密钥绑定不会阻止Coinhive的代码继续在黑客网站上挖掘Monero。一旦密钥过期,挖掘的加密货币将100%归Coinhive所有。

Mursch说Coinhive似乎没有监控代码滥用的动机。

当他们“终止”一个密钥时,他们只会禁用平台上的用户,不会阻止恶意的JavaScript运行,这仅意味着相关联的Coinhive用户将不会得到支付。代码一直在运行,Coinhive获得所有收入。也许他们没办法,或者他们不想。但是只要代码仍然在被黑客入侵的网站上,它就一直在赚钱。

Coinhive对这种明显的利益关联的回应非常正式,声称正在努力纠正它。

“我们开发Coinhive的前提是网站密钥不可更改,”Coinhive回答。"用户无法删除站点密钥。这大大简化了最初的开发。我们可以在WebSocket服务器上缓存站点密钥,而不是从每个新客户端的数据库中重新加载站点密钥。我们正在研究一种机制来通知WebSocket服务器密钥的失败。”

AUTHEDMINE代码born

Coinhive针对这一批评发布了新版本的“AUTHEDMINE”,该版本旨在运行Monero挖掘脚本之前寻求网站访问者的授权。Coinhive声称,大约35%使用其平台的采矿活动来自使用AuthedMine的网站。

但是根据安全公司Malwarebytes在2月份发布的一份报告,与不需要网站访问者许可的挖掘代码相比,AuthedMine代码“很少被使用”。Malwarebytes的病毒警报数据显示,AuthedMine比

说明:以上统计数据显示了从1月10日到2月7日,Malwarebytes每天阻止AuthedMine和Coinhive之间连接的次数。

当被问及对Malwarebytes的发现有何评论时,Coinhive回答说,如果AuthedMine被相对较少的人使用,这可能是因为像Malwarebytes这样的反恶意软件公司使人们无利可图。“他们认为另一种版本是一种威胁,并阻止它,”科因希说。“没有人会使用AuthedMine,因为它被防病毒软件阻止了?如果杀毒软件认为“挖掘不好”,那么挖掘就不好

同样,来自源代码跟踪站点public的数据显示,大约有32,000个站点正在运行原始的Coinhive挖掘脚本,而该站点仅列出了1,200个运行AuthedMine的站点。谁是“Cionhive”?

根据Coinhive网站的原始声明,Coinhive诞生于德国图像托管和pr0gramm.com论坛的一个实验中。

事实上,pr0gramm.com的几个讨论话题表明,硬币的代码首次出现在2017年7月的第三周。当时,这个实验被称为“pr0miner”,这些线索表明,负责pr0miner的核心程序员在pr0gramm上使用了昵称“int13h”。Coinhive证实,“当时大部分工作是由int13h完成的,他仍然在我们的团队中。”

当被问及为什么删除与Pr0gram关系的声明时,Coinhive说是为了方便。

" Pr0gram是由几个好朋友发起的,过去我们帮助他们完成了基础设施和各种项目。他们要求我们用pr0gramm作为采矿的试验平台,让我们用他们的名字来获得更多的认可。对小白来说,发布一个新平台非常困难。后来,当我们出名时,我们不再需要这句话了。”

当被要求澄清声明中提到的“平台”(我们是自筹资金的,在过去的11年里一直在运行这个平台)时,科因希回答说:“对不起,现在还不太清楚,‘这个平台’确实是一个程序”。

也许您可以通过确定pr0gramm论坛管理员的身份来找出谁在运行Coinhive。如果他们不是同一群人,那么pr0gramm管理员肯定会知道Coinhive的幕后黑手是谁。

收集的所有数据都来自WHOIS、域名注册网站或由项目管理员在各种社交媒体网络上发布的信息。换句话说,pr0gramm管理员将本次调查的所有内容都放到了网上。

试图找出谁在运行pr0gramm并不容易,但最终所有的信息都在网上找到了。

收集的所有数据都来自WHOIS、域名注册网站或由项目管理员在各种社交媒体网络上发布的信息。换句话说,pr0gramm管理员将本次调查的所有内容都放到了网上。

从pr0gramm域名开始,像许多其他与本次调查相关的域名一样,最初的注册人是Matthias Moench博士。Moench先生只是稍微有点关系。很难说他是一个有罪的垃圾邮件制造者和杀人犯。本文的最后一部分解释了谁是明希先生,以及为什么他与这么多域名有关联。他是一个有趣而可怕的故事。

pr0gramm最初链接到一个成人网站,该网站链接到十多年前在内华达州拉斯维加斯注册的两家公司。埃罗塞尔有限公司和达斯汀网络公司都表示,他们参与了某种形式的在线广告。

Eroxell、Dustweb和几个与pr0gramm相关的网站(如pr0mining.com、pr0mart.de、pr0shop.com)都与一个名叫赖因哈德弗斯伯格的德国人有关,他的域名注册记录中包含admin

pr0gramm.com的电子邮件地址。埃罗塞尔和达斯韦布也隶属于一家在西班牙注册的公司,名为太阳城。弗斯伯格显然是这家西班牙公司的所有者。

正如pr0gramm网站上所说,论坛始于2007年,是一个德国留言板,源自一个自动机器人,它可以索引和显示张贴在地震(流行的第一人称射击游戏)相关在线聊天频道上的图片。

随着论坛用户群的增长,网站上缓存图像的多样性也在增长。pr0gramm已经开始提供付费的所谓“pr0mium”帐户,允许用户在论坛上查看“不合适的办公室”图片和评论。当pr0gram去年7月首次推出pr0 miner(coin hive的前身)时,它邀请pr0gram会员在自己的网站上试用这些代码,并提供pr0mium积分作为奖励。在

pr0 gram上的一篇关于pr0miner的帖子后来被称为Coinhive的前身。

火卫一和火卫一

Pr0gram是由多米尼克萨伯夫斯基(Dominic Szablewski)发起的,他是2007年底来自德国的地震爱好者。他是计算机专家,以Pr0gram上的网名“cha0s”而闻名。

在节目开始时,Szbalewski经营了一个名为chaosquake.de的地震讨论板和一个个人博客,phoboslab.org。找到这个的原因是phoboslab和pr0g曾经共享同一个谷歌分析跟踪代码(UA-)。

Szablewski通过电子邮件说,他不想对此事发表评论,但他提到几年前他把pr0克卖给了一个身份不明的人。

pr0 gram的许多老成员指出,自从cha0s卸任行政长官以来,论坛已经有了民粹主义的极右政治倾向。弗斯伯格在各种社交媒体网站上称自己为“政治上不正确的巴伐利亚分离主义者”。更重要的是,pr0gramm有大量针对某些族裔或宗教群体的充满仇恨的帖子。

Fuerstberger在回复邮件时说,他不知道pr0gramm被用来分发Coinhive。

“我可以向你保证,我在本周早些时候第一次听说过科尼亚,”他说。“我保证防晒与此无关。我与Pr0gram无关。这是我的搭档做的。当我发现我的公司被利用时,我很震惊。”

以下是一张“思维导图”,用于跟踪本次调查中提到的各种姓名、电子邮件和网站之间的关系。

用于跟踪和整理pr0gramm和Coinhive的调查。这张思维导图是用苹果公司的专业思维导图制作的。

GAMB

目前是福尔斯伯格的合伙人,福尔斯伯格是一家美国公司,在WHOIS上与普莱姆(欧洲有限公司)有关联。他目前是pr0gram的管理员,他的昵称是“Gam”。埃罗塞尔注册的众多域名中有deismoslav.com,它曾经是一个销售电子产品的网站。从该网站2010年的拷贝中可以看出,deimoslab的所有者也使用了Gab这个昵称。戴莫斯和火卫一是两颗火星卫星的名字。他们还在电脑游戏《末日》(Doom)中提到了4级和5级的名字。此外,它们是游戏《地震2》中两个宇宙飞船的名字。

2010 Deimoslab.com截图(感谢archive.org)显示了负责该网站的用户“甘”。

域名系统查询是在pr0gramm.com使用了很长时间的互联网地址上进行的,deimoslab.com曾经与其他几个域共享服务器,包括域名系统。根据历史上WHOIS对域名系统的查询,该域名最初是由德国格罗斯杰鲁的安德烈克鲁姆注册的。

当发现这种关系时,仍然没有与Krumb的“gamb”相关的信息,Krumb是pr0gramm现任管理员的昵称。直到在线搜索包含“甘”论坛帐户。

克鲁姆强调了一些难以置信的事情:硬币是一个人的结果,他的名字叫int13h。

“coin hive与suntaiment或suntaiment的永久雇员无关,”Krumb在一封电子邮件中表示,拒绝透露任何有关int13h的信息。“这也不是你要找的人。这只是一个自由职业者,有时为防晒霜工作。”

在收到弗斯伯格先生和克鲁姆先生的电子邮件回复后,他很快就收到了科宁希夫的电子邮件。

“一些参与pr0gramm的人联系了我们,说他们被你敲诈了,”Coinhive写道。“他们想匿名运行pr0gramm,因为管理员和版主以前曾被骚扰过。我相信你应该和这件事有关。你把他们推到墙边,这当然是你想要的。我们必须感谢您在寻找信息方面的效率,但我们认为这一策略值得怀疑。”

“我们想再次表明,Coinhive的当前状态与pr0gramm或其所有者无关,”Coinhive说。“我们在pr0gramm上测试了采矿机器的‘玩具实现’,因为他们的社区对此类事情更宽容。仅此而已。”

3月22日,Coinhive的人又发了一封后续邮件。他们咨询了法律团队,并决定在他们的网站上添加一些联系信息。

Coinhive 3月22日在其网站上提供的“法律信息”。

此外,coinhive.com/Legal网站列出了德国凯撒勒特的一家名为BadgeS2 Gog的公司。商业记录显示,巴德格斯2Go是一家成立于2017年4月的有限责任公司,由法兰克福的西尔维亚克莱因(Sylvia Klein)管理。克莱因在领英的个人资料显示,她是几家德国组织的首席执行官,其中一家叫做布洛克链未来(Blockchain Future)。

克莱因说:“我建立了Badges2Go来培育有前途的网站和移动应用程序。”。“硬币箱就是其中之一。现在我们正在评估潜力并修复后续计划,以使服务更加专业。”

Matthias Moench博士的奇怪故事

根据上面思维导图中共享的网站注册数据,还有另一则轶事可以分享。如前所述,读者可以看到许多与pr0gramm论坛管理员相关的域名最初是在Matthias Moench博士处注册的。

当调查在2018年1月开始时,明希先生被认为是一个用来隐藏人的假名。但事实是,Moench博士确实是一个真实的人,也是一个非常可怕的人。

根据德国《世界报》2014年一篇令人不寒而栗的报道,明希是一位富有的德国企业家的儿子,他在1988年19岁时被判雇用一名土耳其男子谋杀父母。《世界报》(Die Welt)称:明希雇了一名杀手,用砍刀砍倒他的父母和宠物狮子狗。据报道,明希后来解释了他的行为,说他很不高兴父母在他18岁生日时给他买了一辆二手车,而不是他一直想要的法拉利。

1989 Matthias Moench博士,Welt.de

Moench博士的照片最终被定罪并被出卖。他被少年拘留了九年,但他只服刑五年。获释后,明希声称自己找到了一种宗教,并希望成为一名牧师。

但是后来,明希放弃了成为牧师的想法,决定成为垃圾邮件发送者。多年来,他一直在发送大量的勃起功能障碍药物。据报道,他的各种垃圾邮件业务至少赚了2150万欧元。

Moench先生再次被捕并受审。2015年,他和其他几名共同被告被判欺诈和涉毒犯罪。明希被判六年监禁。德国检察官预计明希将于今年晚些时候获释,据明希童年世界故事的作者拉斯-马丁内格尔说。

将pr0gramm管理员与Moench先生连接起来可能很有吸引力,但这里几乎没有任何连接。2006年一篇极其详细的博客文章试图识别马蒂亚斯明希,他被称为许多域名的原始注册人(他们的数量有数万)。他发现明希本人在几个互联网论坛上说,他在德国和捷克的名字和邮寄地址可以被任何想隐藏身份的垃圾邮件发送者或骗子自由使用。显然,许多人接受了他的好意。

报告发布后不久,phoboslab.org和pr0gramm.com创始人多米尼克萨伯夫斯基的个人博客发布了更新。Szablewski声称对创建Coinhive负责。至于现在谁在运行它,是这样的:

”2007年,我为我的小圈子开发了一个简单的图像讨论板,即2007。这些年来,这个讨论板的力量越来越大。当一些巨人在2015年发现谁是节目主持人时,我收到了各种死亡威胁。我决定辞职,卖掉奶奶。我仍在pr0gramm的幕后工作,不时帮助解决技术问题,但完全放弃了控制权。”

”2007年,我为我的小圈子,即2007开发了一个简单的图像讨论板。这些年来,这个讨论板的力量越来越大。当一些恶棍在2015年发现谁是节目主持人时,我收到了各种死亡威胁。我决定辞职,卖掉奶奶。我仍在pr0gramm的幕后工作,不时帮助解决技术问题,但放弃控制权。”

”几个月后,我开始创建Coinhive,并很快意识到我不能独自做到这一点。所以我在找一个人来接手。”

“我发现一家公司有兴趣成立一家新公司。他们接管了科尼亚,现在正在进行彻底的改革。”

youtube.com

下一条: 我校举行邓秀新增选为工程院院士座谈会