امنیت و هک, همه مطالب

کوین هایو و محبوبیت بسیار زیاد آن

کوین هایو چیست؟
۲۴ بهمن
  • ابزارهای استخراج غیرقانونی Coinhive, Monero یا کوین هایو، در صدر شایع‌ترین بدافزارهای دسامبر ۲۰۱۸ بودند.

  • ‌بدافزارهای استخراج کوین هایو Coinhive با تحت‌الشعاع قرار دادن ۱۲٪ سازمان‌‌های جهانی بهعنوان شایع‌ترین نمونه بدافزار مطرح شدند.

کوین هایو یک سرویس استخراج ارزهای دیجیتال است که بر قسمت کوچکی از کدهای رایانه‌ای که برای نصب در وب‌سایت‌ها طراحی شده‌اند، متکی است.

اگر هیچ اطلاعاتی راجب به ارزهای دیجیتال (ماینیگ، کریپتوجکینگ) و سایر موضوعات آن ندارید؛ بهتر است که برای روشن‌تر شدن این حوزه، کمی در مورد ماهیت ارزهای دیجیتال و چگونگی استفاده از آن‌ها، مطالعه بفرمایید.

پیشنهاد ما این است که برای تسلط نسبی بر دنیای ارزهای دیجیتال مقاله‌ی ما تحت عنوان معرفی جامع کریپتوجکینگ؛ از چیستی تا خطرات و راهکارهای مقابله با آن را، مطالعه بفرمایید.

کوین هایو چیست؟

همان‌طور که گفتیم: کوین هایو یک سرویس استخراج ارزهای دیجیتال است که بر قسمت کوچکی از کدهای رایانه‌ای که برای نصب در وب‌سایت‌ها طراحی شده‌اند، متکی است. این کد از تمام یا بخشی از قدرت محاسباتی هر مرورگری که از سایت مورد نظر بازدید می‌کند، استفاده می‌کند. همچنین دستگاه‌ها را در تلاش برای استخراج بیت‌هایی از ارز دیجیتال Monero به کار می‌گیرد.

علاوه بر منابع دیگر کوین هایو به‌عنوان منبع درآمد جایگزین استفاده می‌شود. به‌عنوان مثال: تبلیغات، پرداخت به ازای هر کلیک و غیره.

اگرچه مالکان وب‌سایت باید قبل از استقرار Coinhive رضایت کاربران نهایی را کسب کنند، اما اغلب بدون رضایت کاربر و بدون گزینه انصراف اجرا می‌شود. بنابراین به‌طور مخربی از منابع محاسباتی کاربران نهایی سوءاستفاده می‌کنند.

در این میان، عوامل مخرب با تزریق کد در وب‌سایت‌ها، برنامه‌های افزودنی مرورگر و برنامه‌های تلفن همراه، از کوین هایو بهره‌مند می‌شوند. از نقطه نظر کاربر نهایی، تفاوت چندانی ندارد که Coinhive توسط مجرمان سایبری مورد سوءاستفاده قرار گیرد یا توسط صاحبان وب‌سایت‌هایی که بدون رضایت آن‌ها از آن استفاده می‌کنند.

کریپتوماینینگ کوین هایو در مرورگر

در سپتامبر 2017، شرکتی که ارز دیجیتال Monero (XMR) را استخراج می‌کند، کوین هایو را معرفی کرد. Coinhive، یک قطعه کد نوشته شده در جاوا اسکریپت است. صاحبان وب‌سایت می‌توانند به‌سادگی آن را در وب‌سایت خود جاسازی کنند.

کوین هایو یک مدل کسب‌وکار جدید برای وب‌سایت‌ها معرفی کرد. او ادعا می کند که صاحبان وب‌سایت می‌توانند تبلیغات را از وب‌سایت‌های خود حذف کنند، به‌جای آن Coinhive را بارگذاری کنند، و در حالی که کاربران به‌سادگی در حال مرور وب‌سایت هستند، من برای آن‌ها ارز Monero  استخراج می‌کنم.

به این ترتیب، صاحبان وب‌سایت‌ها بدون اینکه بازدیدکنندگان خود را با تبلیغات آزار دهند، همچنان می‌توانند سود ببرند و از تجارت خود حمایت کنند.

هنگامی که کاربران به یک وب‌سایت که کوین هایو درون آن قرار دارد دسترسی پیدا می‌کنند، Coinhive با استفاده از منابع سیستم کاربر، فرآیند استخراج رمزنگاری را از طرف مالک وب‌سایت آغاز می‌کند. بازدیدکنندگان یک وب‌سایت گروهی از گره‌ها را نشان می‌دهند که کار محاسباتی فشرده را برای حل مسئله ریاضی انجام می‌دهند. اما، به‌جای دریافت پاداش، صاحب وب‌سایت آن را دریافت می‌کند.

علاوه بر این، در موارد سوءاستفاده، یعنی زمانی که مجرمان سایبری اسکریپت استخراج رمزنگاری را در وب‌سایت‌ها تزریق می‌کنند، مجرمان سایبری پاداش دریافت می‌کنند. با توجه به طنین کوین هایو (ناشی از موارد استفاده قانونی و غیرقانونی) نرم‌افزارهای بیشتری مشابه آن پدیدار شدند.

سوءاستفاده از کوین هایو

تکنیک ربودن مرورگرها برای استخراج ارزهای دیجیتال (بدون رضایت کاربر) “جنگ رمزنگاری” نامیده می‌شود. ارائه ماینرهای رمزنگاری از طریق بدافزار موضوع جدیدی نیست. با این حال، استخراج ارز دیجیتال هنگام دسترسی به یک صفحه وب جدید است.

چندین مورد از سوءاستفاده از رمزنگاری مشاهده شده است:

1) Pirate Bay

  • یک وب‌سایت معروف به دزدی‌های دریایی یکی از اولین وب‌سایت‌هایی است که عمداً از کوین هایو استفاده می‌کند. این اقدام او به‌صورت شفاف و بدون رضایت بازدیدکنندگان انجام می‌شد. هنگامی که اسکریپت استخراج رمزنگاری کشف شد، Pirate Bay بیانیه‌ای صادر کرد و ذکر کرد که در حال آزمایش این راه‌حل به‌عنوان یک منبع درآمد جایگزین است.
  • به‌دنبال اخبار Pirate Bay، دو دامنه Showtime در حال بارگذاری و اجرای کوین هایو مشاهده شدند.

2) Politifact

  • مورد دیگری از وب‌سایتی بود که کوین هایو را به بازدیدکنندگان خود ارائه می‌کرد. در حالی که مشخص نیست که آیا این کار از روی عمد انجام شده است یا خیر.

3) تزریق در جاوا اسکریپت

  • محققان وب‌سایت‌های وردپرس و مجنتو در معرض خطر را شناسایی کردند که Coinhive یا یک ماینر مشابه مبتنی بر جاوا اسکریپت به آن‌ها تزریق شده بود.
  • علاوه بر وب‌سایت‌ها، مواردی از افزونه‌های مرورگر وب وجود داشت که کوین هایو را تعبیه کرده بودند. در چنین مواردی، نرم‌افزار رمزنگاری در پس‌زمینه اجرا می‌شود و Monero را در حین کار مرورگر استخراج می‌کند. این یک راه پایدارتر برای رمزنگاری است.
  • یکی دیگر از موارد سوءاستفاده از کوین هایو، استفاده از آن در کنار بدافزار است. یک محقق سایتی را پیدا کرد که به‌روزرسانی جعلی جاوا را ارائه می‌کرد. این سایت همچنین در حال استخراج Monero با استفاده از کوین هایو بود.

4) تزریق در برنامه‌های اندرویدی

  • یک محقق امنیتی یک نسخه اندرویدی از Coinhive را مشاهده کرد که کاربران روسی را هدف قرار می‌دهد. برنامه‌های اندرویدی اضافی با استفاده از اسکریپت‌های استخراج ارز دیجیتال اخیراً شناسایی شده‌اند که نشان می‌دهد این روند در حال گسترش به برنامه‌های موبایل می‌باشد.
  • کارشناسان امنیتی دریافتند که یکی از بزرگ‌ترین گروه‌های بدافزار را از طریق تبلیغات مخرب به‌کار می‌برند. در حالی که تبلیغات مخرب کاربران را به سمت کلاهبرداری‌های پشتیبانی فنی هدایت می‌کرند، کوین هایو در مرورگر بارگذاری می‌شد و همزمان Monero استخراج می‌کرد.

5) سرویس‌های ابری

  • Coinhive از طریق سرویس‌های ابری ربوده شده است. محققان امنیتی گزارش دادند که توسعه‌دهندگان و سازمان‌ها به‌درستی از خدمات ابری خود محافظت نمی‌کنند. به‌عنوان مثال: سیستم‌های AWS، Azure و Google Cloud Platform، به مجرمان سایبری این امکان را می‌دهند تا آن‌ها را به سرقت ببرند و در جهت استخراج ارزهای دیجیتال استفاده کنند. این احتمال وجود دارد که عوامل تهدید با استفاده از اعتبارنامه‌های پیش‌فرض به این سیستم‌ها دسترسی داشته باشند.

راهکارهایی برای مقابله با هکرهای این حوزه

راهکارهای بسیاری ممکن است وجود داشته باشد. اما مهم‌ترین و اثرگذارترین آن‌ها به شرح زیر است:

1) رضایت کاربر و گزینه انصراف:

پس از سوءاستفاده گسترده از کوین هایو، شرکت توسعه‌دهنده آن، نسخه جدیدی به‌نام Authedmine را منتشر کرد که صراحتاً قبل از شروع رمزنگاری به رضایت کاربر نیاز دارد.

کسب‌وکارهای قانونی که راه‌حل‌های مشابه Coinhive را انتخاب می‌کنند، باید قبل از اجرای هر کد رمزنگاری در مرورگر خود، رضایت کاربر را درخواست و به آن‌ها گزینه انصراف نیز ارائه ‌دهند.

2) استفاده از مسدود کننده تبلیغات:

مسدود کننده‌های تبلیغاتی معروف، به‌سرعت پشتیبانی از مسدود کردن Coinhive را اضافه کردند. ازاینرو کاربرانی که از مسدودکننده‌های تبلیغاتی استفاده می‌کنند نباید نگران رمزنگاری جاوا اسکریپت در پس‌زمینه باشند.

با توجه به این که، مسدودکننده‌های تبلیغات می‌توانند در برابر تبلیغات و اسکریپت‌های ناخواسته و اغلب مخرب مفید باشند، برای شرکت‌های قانونی که درآمدشان متکی به تبلیغات است نیز، می‌توانند مضر باشند.

3) استفاده از افزونه مرورگر:

این مورد را برای مسدود کردن اسکریپت‌های استخراج رمزنگاری در نظر بگیرید. توسعه‌دهندگان همچنین افزونه‌هایی ایجاد کرده‌اند که کوین هایو و سایر اسکریپت‌های مشابه رمزنگاری را مسدود می‌کنند. کاربران می‌توانند این افزونه‌ها را در بازار مرورگرهای خود جستجو کنند.

4) به‌روزرسانی نرم‌افزار آنتی‌ویروس:

در حال حاضر آنتی‌ویروس و ضد بدافزارها نرم‌افزارهای رمزنگاری را مسدود می‌کنند. ازاین‌رو به کاربران توصیه می‌شود آن‌ها را همیشه به‌روز نگهدارند.

خط مقدم دفاع از شما در مقابل انواع عامل‌های مخرب، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعه‌ی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد می‌کنیم.

در صوت تمایل به آشنایی با ضدویروس‌های شید می‌توانید روی دکمه زیر کلیک کنید.

آشنایی با ضدویروس شید

5) افزونه‌های غیرضروری مرورگر را غیرفعال کنید:

به کاربران توصیه می‌شود افزونه‌های مرورگری را که دیگر استفاده نمی‌کنند، غیرفعال یا حذف کنند.

تحقیقات چک پوینت

اگر اطلاعات شرکت چک پوینت را در نظر بگیریم، سازمان‌های کلان تجاری به این زودی‌ها نمی‌توانند از شر حملات استخراج ارزهای دیجیتال رهایی یابند.

علاقه پابرجای مهاجمین به بدافزارهای ارز دیجیتال (علی‌رغم اینکه ارزش بزرگ‌ترین ارزهای دیجیتال روند نزولی داشته است) چندان تعجب‌آور نیست.

Omer Dembinsky رهبر تیم تحقیقات شرکت چک پوینت اعلام کرد:

ارزش اصلی این‌گونه بدافزارها برای مهاجمین در این است که؛ بر خلاف باج‌افزارها و تروژان‌ها، می‌توانند بدون دخالت کاربر و بدون نیاز به مکانیزم‌های خاص تولید سود مستقیم کنند.

در بیشتر موارد، کاربران اصلاً متوجه آلودگی نمی‌شوند، تا زمانی که سیستمشان به‌شدت کند شود. بدافزارهایی از این قبیل که روی سرور‌ها و کامپیوترها بزرگ اجرا می‌شوند ، به همین دلیل، به‌سختی قابل تشخیص هستند.

وی ادامه می‌دهد: در کامپیوترهای شخصی، گوشی‌های موبایل و سرورها و در کل هر ماشینی که قابلیت پردازش داشته باشد، بدافزارها در پس‌زمینه آن اجرا می‌شوند. بنابراین هر سیستمی یک هدف بالقوه است.

همان طور که انتظار می‌رفت، اکثر حفره‌های امنیتی مورد استفاده در دسامبر ۲۰۱۸ در ارتباط با فعالیت‌های غیرقانونی استخراج ارز دیجیتال بودند. در بالای لیست حفره‌ای به‌نام CVE-2017-7269، وجود دارد که یک نقص امنیتی در پردازش حافظه در نرم‌افزار IIS مایکروسافت است . این حفره تقریباً دو سال پیش شناسایی وهمزمان وصله شد.

دلیل محبوبیت این حفره نزد مهاجمین این است که اجازه می‌دهد به سرورهای رده بالا (با قدرت پردازشی بسیار بالا) برای استخراج ارز دیجیتال، رخنه کنند .

جمع‌بندی

Cryptojacking به‌سرعت به ابزار جدیدی در دست مجرمان سایبری تبدیل شد، که یک‌بار دیگر نشان می‌دهد که مجرمان سایبری حاضرند تا راه‌های جدید را بیابند و فرصت‌های جدیدی را برای کسب سود در زمان بسیار کوتاه به دست آورند.

اولین نشانه‌ها حاکی از آن است که مجرمان سایبری قبلاً با هزینه تقریباً صفر از این طرح سود برده‌اند. این نشان می‌دهد که تا زمانی که سودآور باشد، به سوءاستفاده از این روش ادامه خواهند داد.

همان‌ طور که موارد گذشته نشان می‌دهد، تعجبی نخواهد داشت که شاهد ترکیب چنین طرحی با انواع مختلف تهدیدات سایبری، (به‌عنوان مثال: فیشینگ، باج‌افزار و غیره) باشیم.

برچسب‌ها:
, ,
جدیدتر اپل نرم افزار جاسوسی گوگل را حذف می‌کند.
قدیمی‌تر هک و نابود شدن داده‌های 100 میلیون کاربر کورا

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.