一年内成为网络安全头号敌人,挖矿代码Coinhive如何黑遍各大网站

猎云网  •  扫码分享

多家安全公司最近将加密货币挖矿服务Coinhive定为Web用户最大的威胁,这归咎于使用Coinhive的代码的网站被黑客入侵,窃取了访客设备的处理能力。本文探讨Coinhive在推出不到一年后如何跃居威胁排行榜第一,并探索关于这个服务背后参与者的身份线索。

Coinhive是一种加密货币挖矿服务,靠的是一小段嵌入网站的代码。该代码借用访问网站的浏览器的部分或全部计算能力,将该机器列到一个竞价系统中,用于挖掘Monero加密货币。

Monero与比特币的不同之处在于,交易是不可追溯的,外部人无法追踪双方之间的Monero交易。自然,这种特性使得Monero对于网络犯罪分子特别有吸引力。

Coinhive去年夏天发布了它的挖矿代码,宣称站长们不需要投放侵入性、讨厌的广告也可以获得收入。但后来Coinhive的代码已成为多家安全公司追踪的头号恶意软件。这是因为大部分情况下代码都安装在被黑的网站上,所有者不知情也未授权。

就像被恶意软件或特洛伊木马感染一样,Coinhive的代码经常会锁定用户的浏览器,并耗尽设备的电池,只要访问者浏览网站,它就会全程挖掘Monero。

目前有近32,000个网站运行Coinhive的JavaScript矿机代码。很难说其中有多少网站有意安装了这些代码,近几个月来黑客已经秘密地将代码嵌入到了一些非常流行的网站上,包括“洛杉矶时报”官网、移动设备制造商Blackberry、Politifact 和Showtime。

而且代码还在一些意想不到的地方出现。12月,Coinhive代码被发现嵌入在布宜诺斯艾利斯星巴克Wi-Fi热点的所有网页中。1月的大约一周时间里,Coinhive被发现隐藏在日本、法国、意大利、西班牙和中国台湾的YouTube广告内(通过Google的DoubleClick平台)。2月,Coinhive在Textalp提供的“Browsealoud”上被发现,该服务为视障人士朗读网页。除了一些美国和加拿大政府网站之外,该服务还在英国许多政府网站得到广泛使用。

Coinhive会从中得到什么?无论网站是否同意运行它,Coinhive都会从网站获得的Monero加密货币抽成30%。该代码与一个特殊的密钥绑定,密钥标识哪个用户帐户会收到另外70%的收入。

Coinhive确实接受投诉,但它通常只回应被黑网站主人的投诉(对大部分第三方提出的投诉不予理睬)。更糟糕的是,当Coinhive对投诉作出回应时,它只是让秘钥失效而已。

但据安全专家Troy Mursch说,他花很多时间跟踪Coinhive和其他“密码劫持”请求,解绑密钥并不会阻止Coinhive的代码继续在黑客攻击的网站上挖掘Monero。一旦密钥失效,挖掘的加密货币会100%归Coinhive所有。

Mursch说,Coinhive似乎毫无动力监控滥用代码的行为。

他们'终止'一个密钥时,只是禁用了平台上的用户,不会阻止恶意JavaScript运行,这只是意味着关联的Coinhive用户不会得到报酬。代码一直在运行,而Coinhive获得了所有的收入。也许他们对此无能为力,或者他们不想。但只要代码仍然在黑客攻击的网站上,它一直在赚钱。

对于这种明显的利益相关,Coinhive的回应很官方,声称正在努力修正。

“我们在假设网站密钥是不可改变的前提下开发了Coinhive,”Coinhive回复道。“用户无法删除站点密钥。这极大地简化了最初的开发。我们可以在WebSocket服务器上缓存站点密钥,而不是从每个新客户端的数据库重新加载它们。我们正在研究一种机制将密钥的失效告知WebSocket服务器。”

AUTHEDMINE代码诞生

Coinhive通过发布新版本“AuthedMine”来回应这种批评,该代码旨在运行Monero挖掘脚本之前先征求网站访问者的授权。Coinhive号称使用其平台的挖矿活动中约35%来自使用AuthedMine的网站。

但根据2月份由安全公司Malwarebytes发布的报告,与不需要网站访客允许的挖矿代码相比,AuthedMine代码“几乎没人使用”。Malwarebytes的病毒警报数据显示,涉及Coinhive的挖矿代码的所有案例中,AuthedMine的使用率略高于百分之一。

一年内成为网络安全头号敌人,挖矿代码Coinhive如何黑遍各大网站

插图:以上统计数据显示 1 10 日至 2 7 日期间每天 Malwarebytes 阻止 AuthedMine Coinhive 的连接次数。

当被要求评论Malwarebytes的调查结果时,Coinhive回答说,如果使用AuthedMine的人相对较少,这可能是因为像Malwarebytes这样的反恶意软件公司已经让人们无利可图。

“他们认为可供选择的版本是威胁并阻止它,”Coinhive说。 “没有人会使用AuthedMine,因为它被杀毒软件阻止了? 如果杀毒软件认为“挖矿不好”,那么采矿就是不好的。”

同样,源代码跟踪站点publicwww.com的数据显示,大约32,000个站点正在运行原始Coinhive挖矿脚本,而该站点列出的运行AuthedMine的站点仅有1,200个。

Cionhive到底是谁?

根据Coinhive网站的原先的一份声明,Coinhive诞生于德语图像托管和论坛pr0gramm.com的一项实验。

的确,pr0gramm.com上的多个讨论主题显示,Coinhive的代码在2017年7月的第三周首次出现。当时实验被称为“pr0miner”,并且这些线索表明负责pr0miner的核心程序员使用 pr0gramm上的昵称“int13h”。Coinhive证实“当时大部分工作都是由int13h完成的,他仍然在我们的团队中。”

当被要求解释为什么与pr0gramm关系那段声明被删除, Coinhive说是为了图便利:

“pr0gramm由几个好朋友发起,我们过去曾帮助他们完成基础设施和各种项目。 他们让我们用pr0gramm作为挖矿的试验台,并让我们用他们的名字来获得更多的背书。对于小白来说,发布一个新平台很困难。后来我们小有名气,就不再需要这个声明。”

在被要求澄清其声明中提到的“平台”(“我们是自筹资金并且在过去11年一直运行这个平台”)时,Coinhive回答说:“对不起,没有写得更清楚:'这个平台'的确是pr0gramm“。

也许可以通过确定pr0gramm论坛管理员的身份来找出谁在运行Coinhive。如果他们不是同一批人,那么pr0gramm管理员肯定会知道Coinhive背后的人是谁。

谁是pr0gramm的所有者?

试图找出谁在运行pr0gramm并不容易,但最终所有信息都在网上找到了。

收集的所有数据来源于域名注册网站WHOIS,或者来自各种社交媒体网络 上pr0gramm管理员自己公布的信息。换句话说,这项调查中所有内容都是pr0gramm管理员自己放到网上的。

从pr0gramm域名开始,像其他许多与此调查相关的域名一样,最初是注册人是Matthias Moench博士。 Moench先生只是略有关联,很难说他是一个有罪的垃圾邮件发送者和凶手,本文最后一部分解释了谁是Moench先生以及他为什么会与这么多的域名所关联。他本身是个有意思而又很可怕的故事。

pr0gramm最初与一家成人网站相关联,该网站与两家十多年前在内华达州拉斯维加斯注册的公司有关系。Eroxell Limited和Dustweb Inc这两家公司都表示他们参与了某种形式的在线广告。

Eroxell、Dustweb以及几个与pr0gramm相关的网站(例如pr0mining.com,pr0mart.de,pr0shop.com)都与一个名叫Reinhard Fuerstberger的德国男子相关,该男子的域名注册记录里有电子邮件地址admin @ pr0gramm.com。 Eroxell和Dustweb也分别与一家在西班牙注册的名为Suntainment SL的公司有关系,Fuerstberger很明显是这家西班牙公司的所有者。

正如pr0gramm网站上所述,论坛于2007年开始,作为德语留言板,源自于一个自动化的机器人,它可以索引和显示被发布到Quake(广受欢迎的第一人称射击游戏)相关的在线聊天频道的图片。

随着论坛用户群的增长,网站缓存图片的多样性也在增长,pr0gramm开始提供付费的所谓“pr0mium”帐户,允许用户查看“办公室不宜”图片并在讨论区发表评论。当pr0gramm去年7月首次推出pr0miner(Coinhive的前身)时,它邀请pr0gramm会员在他们自己的网站上试用这些代码,并且提供pr0mium积分作为奖励。

一年内成为网络安全头号敌人,挖矿代码Coinhive如何黑遍各大网站

pr0gramm上的一个关于pr0miner的帖子,后来被称为Coinhive的前身。

火卫一和火卫二

Pr0gramm于2007年底由来自德国的Quake爱好者Dominic Szablewski发起,他是一位电脑专家,在pr0gramm上以他的网名“cha0s”而闻名。

在pr0gramm开始的时候,Szbalewski运行了一个名为chaosquake.de的Quake讨论板,以及一个个人博客phoboslab.org。发现这一点的原因是phoboslab和pr0gramm曾共享过相同的Google Analytics跟踪代码(UA-571256)。

Szablewski通过电子邮件表示,他不想就这件事做评论,不过他提到几年前就将pr0gramm卖给了一个不透露身份的人。

多位pr0gramm老会员指出,由于cha0s作为管理员离开,该论坛已经具有民粹主义极右政治倾向。Fuerstberger 先生在各种社交媒体网站上称自己是“政治上不正确的巴伐利亚分离主义者”。更重要的是,pr0gramm上有大量充满仇恨情绪的针对某些的种族或宗教团体的帖子。

Fuerstberger回复电子邮件说,他不知道pr0gramm被用来散发Coinhive。

“我可以向你保证,我在本周早些时候才第一次听说Coinhive,”他说。 “我保证Suntainment公司与它无关。我与Pr0gram也没有任何关系。这是我的合作伙伴干的。当发现我的公司被利用时,我感到非常震惊。”

下面是“思维导图”,用于跟踪本调查中提到的各种名字、电子邮件和网站之间的关系。

一年内成为网络安全头号敌人,挖矿代码Coinhive如何黑遍各大网站

用于跟踪和梳理对pr0gramm和Coinhive的调查,这张思维导图是用Mindnode Pro for Mac创建的。

GAMB

通过查询WHOIS上关于pr0gramm (Eroxell Ltd)相关联的美国公司,Fuerstberger的合作伙伴,目前是pr0gramm管理员的身份,他的昵称叫“Gamb”。在Eroxell注册的许多域名中,有一个是deimoslab .com,它在曾经是一个销售电子产品的网站。从2010年的网站副本可以看出,deimoslab的所有者也使用了Gamb这个昵称。Deimos和Phobos是火星这两颗卫星的名字。他们还提到电脑游戏“Doom”中的第四和第五级别的名称。另外,它们是在游戏Quake 2中两艘宇宙飞船的名称。

一年内成为网络安全头号敌人,挖矿代码Coinhive如何黑遍各大网站

2010年Deimoslab.com截图(感谢archive.org)显示用户“Gamb”掌管该网站。

在pr0gramm.com长期使用的Internet地址上进行DNS查询,deimoslab.com曾与其他几个域共享服务器,其中包括phpeditor.de。根据对phpeditor.de的历史WHOIS查询,该域名最初由德国Gross-Gerau的Andre Krumb注册。

当发现这种关系时,仍然找不到任何Krumb关联到“gamb”的信息,这是pr0gramm当前管理员的昵称。直到在网上搜索包含“ “Gamb”的论坛帐户。

Krumb强调一些令人无法相信的事情:Coinhive只是一个人的成果,那个人叫int13h。

“Coinhive与Suntainment或Suntainment的永久雇员毫无关系,”Krumb在一封电子邮件中说,拒绝透露有关int13h的任何信息。 “这也不是你正在寻找的人,只是一个有时候为Suntainment工作的自由职业者。”

在收到Fuerstberger先生和Krumb先生的电子邮件回复后,很快就收到了Coinhive的电子邮件。

“一些参与pr0gramm的人联系了我们,说他们正在被你勒索,”Coinhive写道。 “他们希望匿名运行pr0gramm,因为管理员和版主以前都曾被别人骚扰。我相信你应该与此相关。你将他们推到绝境,这当然正是你想要的效果。我们不得不赞赏你查找信息的效率,但我们认为这样做的策略是可疑的。”

“我们想再次说清楚,Coinhive目前的状态与pr0gramm或其所有者无关,”Coinhive说。“我们在pr0gramm上测试了矿机的'玩具实施',因为他们的社区对这样的事情比较宽容。 仅此而已。”

3月22日,Coinhive的人又发来一封跟进的电子邮件,他们咨询了法律团队,决定在他们的网站上添加一些联系信息。

一年内成为网络安全头号敌人,挖矿代码Coinhive如何黑遍各大网站

Coinhive于3月22日在其网站上提供的“法律信息”。

此外,coinhive.com / legal这个网页上列出了德国Kaiserlautern的一家名为Badges2Go UG的公司。业务记录显示Badges2Go是一家有限责任公司,于2017年4月成立,由法兰克福的Sylvia Klein管理。Klein的LinkedIn简介显示,她是德国几个组织的首席执行官,其中一个叫做Blockchain Future。

“我成立了Badges2Go,孵化有发展前景的网页端和移动应用,”Klein说。 “Coinhive就是其中之一。 现在我们在评估潜力并修复后续规划,使服务更为专业化。”

Matthias Moench博士的奇异故事

基于上面思维导图中分享的网站注册数据,还有一件佚事需要分享。如前所述,读者可以看到许多与pr0gramm论坛管理员关联的域名最初是注册给名为Dr. Matthias Moench的。

于2018年1月首次开始这项调查时,以为Moench先生是用来掩人耳目的假名。 但事实是,Moench博士确实是一个真正的人,而且是一个非常可怕的人。

据德国日报“Die Welt”2014年的一篇令人心寒的报道,Moench是德国一个富有的企业家的儿子,他在1988年19岁时因雇一名土耳其男子谋杀他的父母而被定罪。Die Welt说: Moench雇用的凶手用一把砍刀去砍死父母和宠物狮子狗。据报道,后来Moench解释了他的行为,称他很不高兴他的父母为他的18岁生日给他买了一辆二手车,而不是他一直想要的法拉利。

一年内成为网络安全头号敌人,挖矿代码Coinhive如何黑遍各大网站

1989 年的 Matthias Moench 博士, 片来自 Welt.de

Moench博士最终被定罪并背叛在青少年拘留所关押九年,但他只服刑五年。 释放后,Moench声称他找到了宗教并希望成为一名牧师。

然而后来,Moench放弃了当牧师的想法,决定成为垃圾邮件发送者。多年来,他一直在群发治疗勃起功能障碍药物的垃圾邮件,据报道他的各种垃圾邮件生意至少赚取了2150万欧元。

Moench先生再次被捕并接受审判。2015年,他和其他几名共同被告被判有欺诈和与毒品有关的罪名。Moench被判处六年有期徒刑。根据Moench童年时代Die Welt故事的作者Lars-Marten Nagel的说法,德国检察官预计Moench将在今年晚些时候从监狱释放。

将pr0gramm管理员与Moench先生联系起来可能很有吸引力,但这里几乎没有任何联系。来自2006年的一篇令人难以置信的详细博客文章试图确定Matthias Moench的身份,他被称为这么多域名的原始注册人(他们的数量在数以万计),他发现Moench本人在几个互联网论坛上表示,他的姓名和在德国和捷克邮寄地址可以被任何想要隐藏自己身份的垃圾邮件发送者或骗子自由使用。显然,很多人都接受了他的好意。

在这个报道发布后不久,phoboslab.org,pr0gramm.com的创始人Dominic Szablewski的个人博客发布了更新。Szablewski声称负责启动Coinhive。至于现在谁在运行它,是这样的:

“2007年我为自己的小圈子开发了一个简单的图像讨论版,就是pr0gramm。多年来,这个讨论版已经发展壮大。当2015年的一些巨头找出来谁是pr0gramm的运营者,我收到了各种死亡威胁。 我决定退出并出售pr0gramm。我仍然在幕后开展pr0gramm工作,并不时帮助解决技术问题,但完全放弃了控制权。”

“2007年我为自己的小圈子开发了一个简单的图像讨论版,就是pr0gramm。多年来,这个讨论版已经发展壮大。当2015年的一些恶人找出来谁是pr0gramm的运营者,我收到了各种死亡威胁。 我决定退出并出售pr0gramm。我仍然在幕后开展pr0gramm工作,并不时帮助解决技术问题,但放弃了控制权。”

“几个月后,我启动了Coinhive,并很快意识到我无法单独做到这一点。所以我寻找一个可以接管的人。”

“我找到一家公司对成立新公司感兴趣。他们已经接管了Coinhive,现在正在进行彻底的改革。”

AD: 进击•融合 猎云网&AI星球2018年度人工智能产业峰会 将于4月17号在深圳大中华希尔顿酒店举行。这里有最深度的思考,最有价值的投资建议,以及最酷的黑科技展示,精彩不容错过。

随意打赏

大数据hive头号敌人
提交建议
微信扫一扫,分享给好友吧。