所有关于浏览器内挖掘:Coinhive 和 WebAssembly 2022:什么是浏览器挖掘?

会员披露: 完全透明-我们网站上的某些链接是会员链接,如果您使用它们进行购买,我们将为您赚取佣金而没有任何额外费用(无任何费用!)。

本文将讨论所有关于浏览器内挖掘:Coinhive 和 WebAssembly

在通过专用集成电路 (ASIC) 实现了一些进化飞跃之后,挖掘算法似乎已经回到了它们的起源:“简陋”的个人计算机。

CryptoNight(支撑门罗币)等算法的适当性导致源代码转换为 JavaScript,并打破了使用独立可执行文件进行挖掘的更传统做法,转而在浏览器进程中执行代码。 本博客探讨浏览器内挖掘的历史和现状。

在通过专用集成电路 (ASIC) 进行了一些进化步骤之后,挖掘算法又回到了它们的起源:“简陋”的个人计算机。

CryptoNight(支撑门罗币)等算法的适当性导致源代码转换为 JavaScript,并打破了使用独立可执行文件进行挖掘的更传统做法,转而在浏览器进程中执行代码。

浏览器内挖矿的开始

这种新方法允许任何支持 JavaScript 的浏览器用于 货币挖矿, 服务很快出现 通过网页获利 使用方法。 黑客不再需要分发和维护持久的二进制文件; 所需要的只是在网页上进行简单的代码注入。

All About In-Browser Mining: Coinhive and WebAssembly

图片来源: pexels

JavaScript 与平台无关,但它在浏览器沙箱中运行,远离裸机,因此无法获得最佳性能。 与可以无限期运行(或至少直到有人发现并终止相关进程)的旧的基于 PC 和 IoT 的解决方案相比,基于浏览器的技术只能在包含矿工的页面保持打开状态下运行。

另一方面,基于 Web 的方法为恶意行为者提供了更多的自由:无需在同一页面上存储任何内容。 功能和组件可以在众多域中划分,并且可以重新利用以前租用或受损的服务器。

Coinhive 等人。

2017 年中期,Coinhive 成为基于 JavaScript 的可靠 Monero (XMR) 矿工。 一旦安装在网站上,它就会利用访问者的 CPU 能力进行挖掘,为传统广告提供替代资金流。 到 2017 年底,超过一千个网站包含了它的代码,这至少部分归功于海盗湾的早期支持。

很快,人们开始指责设计师,部分原因是网站并不总是准备好提供退出访问者计算机上执行脚本的选项。 许多人甚至没有试图告知他们的访问者关于他们计算机的这种使用。

作为回应,Coinhive 开发了一个新版本,该版本只有在获得明确许可的情况下才会激活。 不幸的是,这并不能保证 Coinhive 用户会采用更新的版本,尤其是那些有恶意的用户。

Coinhive 的流行导致了 2017 年底和 2018 年初竞争服务的发展,以及一些简单的挖矿 plugins 专业 网络平台 像 WordPress。

WebAssembly

WebAssembly(缩写为 Wasm)是大多数浏览器内货币矿工的核心。 它是一种使用基于堆栈的虚拟机的新二进制指令格式,设计为高级编程语言(如 C/C++)的可移植目标。

它的主要设计目标包括在内存安全的沙盒环境(即浏览器内 JavaScript 沙盒)中接近原生的加载时间效率和执行性能。 负责开放标准的是 WebAssembly 社区组。

WebAssembly 的第一个“最小可行产品”(MVP)版本于 2017 年 XNUMX 月发布,目前所有主流浏览器都支持该标准,包括 Mozilla Firefox、Google Chrome、Apple Safari 和 Microsoft Edge。

WebAssembly 设计文档描述了该技术的多个用例,很容易看出为什么硬币矿工开发人员会对它感兴趣:WebAssembly 对速度的强调有助于缩小浏览器内挖掘和原生挖掘之间的性能差距。

是恶意软件吗?

即使是安全行业也对浏览器内挖掘是否从根本上是恶意的存在相互矛盾的意见。

在他人不知情的情况下在他人的计算机上运行散列算法是有害的行为,因为它最终构成对其资源的未经授权的使用。

Malware

图片来源: pexels

即使它不应该对数据或机器的完整性造成任何损害,它也会导致 PC 响应速度变慢和电费增加,特别是如果它长时间未被检测到。

另一方面,经过用户许可的散列不是恶意的; 如果这意味着网站上没有广告,至少有些人可能会急于执行这些脚本。 沙龙网站在 2018 年初尝试了这种方法。

请注意,从现在开始,当我们提到 Coinhive 时,我们严格指的是未经授权将 Coinhive 代码和服务用于挖矿目的。

当好狗做坏事时

恶意用户立即设计了多种方法将矿工插入用户的浏览器。 随着矿工在浏览器打开时运行,包含 Coinhive 代码的 Chrome 扩展程序得到了迅速开发,并为简单的网页提供了非常优越的回报。 同时,为了防止未经授权的网站挖掘,构建了各种 Coinhive 拦截器扩展。

最初,谷歌关于挖掘扩展的 Web Store 政策是允许的:只要用户完全了解并且扩展没有其他目的,扩展就可以将挖掘作为其唯一目的。 然而,许多扩展程序并不符合这些标准,因此谷歌最近禁止从 Chrome 网上应用店挖掘扩展程序。

这让坏人有了将代码注入网站的行之有效的技术。

这一切在野外是如何运作的?

矿工通过利用漏洞被注入到未知网站的代码中。 多年来一直如此,这通常是通过扫描已知漏洞的自动化软件来完成的。 一旦识别出易受攻击的网站,它就会被利用并插入恶意 JavaScript 代码。

由于基于浏览器的矿工在 网络罪犯,一个易受攻击的网站可能会被多个参与者渗透:例如,下面描述的网站被三个不同的黑客入侵,每个黑客都使用一个独特的浏览器矿工。 请注意实际站点上没有明显的矿工迹象。

主动感染 #1:“基本”矿工

第一个活跃的矿工是一个可广泛访问的浏览器矿工工具(在示意图中称为“基本矿工”)。

与第二个活跃的矿工相比,使用 Web 安全网关阻止它的复杂性和难度更低,因为它使用基于 WebSockets 的代理服务器、使用静态域和最少的混淆将挖矿流量中继到矿池。

加载后,它首先加载 CryptoNight WASM 二进制文件,然后使用公众已知的 coinhive.com WebSocket 代理启动挖掘。

主动感染 #2:“高级”矿工

许多可公开访问的“灰色/黑色”矿工也为订阅者提供私人版本,这些版本通常被设计成更难被发现。

“基本矿工”从 URL 缩短服务中检索挖掘脚本并采用一些高级混淆技术; 但是,应该注意的是,与漏洞利用工具包相比,它仍然是一种非常基本的混淆技术。

这个矿工的一个有趣的特点是它使用动态 DNS 代理服务器通过 WebSocket 连接传输挖掘数据,这使得检测和阻止变得更加困难。

减轻

1. 网络套接字

浏览器内矿工的区别在于它们依赖于 WebSocket 进行通信。 由于不允许在浏览器沙箱中运行的进程访问系统套接字,因此创建了 WebSockets 以实现网页上运行的代码和服务器之间的全双工异步交互——例如,Slack 等聊天服务大量使用 WebSockets。

由于 WebSockets 的标准要求将会话建立为 HTTP,然后“升级”到 WebSocket(参见下面的示例),这排除了与使用 Stratum 协议的绝大多数货币挖掘“池”的直接连接。

因此,浏览器内挖矿操作的运营商必须设置 WebSocket 服务器以侦听来自矿工的连接,并在内部或外部处理信息,具体取决于他们是否管理自己的矿池。

虽然硬币挖掘脚本可能出现在数十个甚至数百个网站上,但任何部署中涉及的 WebSocket 服务器可能会显着减少,这大大简化了使用 Web 代理的阻塞:无法与矿池通信通常会导致消除的采矿活动。

2. 禁用 WebAssembly 和/或 JavaScript

截至 2018 年 XNUMX 月,只有 Firefox 和 Chrome 支持禁用 Wasm 的核选项。 为此,请按照以下步骤操作。 在继续之前,请评估随着该技术变得越来越普遍,该技术将阻碍越来越多地点的正常运营的可能性。

在 Firefox 中导航到 about: config 并将 javascript.options.wasm 更改为 false。

在 Chrome 中将 chrome:/flags/#enable-webassembly 的值更改为禁用。

如果停用 Wasm 是核选项,那么完全禁用 JavaScript 是热核选项。 为此,安全建议通常包括以下建议: plugin比如 NoScript。 同样,这将对网站的功能产生影响,因此您应该评估它是否适合您的组织和浏览习惯。

快速链接:

结论:关于浏览器内挖掘:Coinhive 和 WebAssembly 2022

鉴于加密货币的日益普及(尽管 2018 年比特币的价值波动)以及比特币价格的波动,人们对硬币开采的持续兴趣并不令人意外。 安全部门必须回答上述问题:它是恶意软件吗?

挖掘过程的核心只是为了解决预定义的拼图而运行的数学指令。 这本身不一定是恶意的。

基本问题是此活动是否在用户知情和同意的情况下发生。 因此,在不了解其上下文的情况下禁用所有挖掘脚本可能不是理想的策略。

Forcepoint 采用组合方法来发现和阻止与受感染网站相关的货币矿工,不仅阻止我们发现的脚本实例,还阻止整个活动所依赖的 WebSocket 命令/中继服务器。

安迪·汤普森

安迪·汤普森(Andy Thompson)长期以来一直是自由作家。 她是的高级SEO和内容营销分析师 数码软件,一家专门从事内容和数据驱动的SEO的数字营销营销机构。 她在数字营销和会员营销方面也有七年以上的经验。 她喜欢在广泛的领域中分享自己的知识,这些领域包括电子商务,初创企业,社交媒体营销,在线赚钱,会员营销到人力资本管理等等。 她一直在为一些权威的SEO,在线赚钱和数字营销博客撰写文章,例如: 影像工作站, 新闻智能波,& 专家级

发表评论