Cryptojacking چیست؟

Cryptojacking فعالیتی بدخواهانه است که در طی آن از دستگاه آلوده شده به صورت مخفیانه برای استخراج ارزهای رمزنگاری شده استفاده می‌شود. برای انجام این کار، شخص حمله‌گر از قدرت پردازشی و پهنای باند قربانی استفاده می‌کند (در بیشتر مواقع این کار بدون آگاهی یا رضایت آنها انجام می‌شود).

0 146

به طور معمول، بدافزار استخراج کریپتویی که مسبب چنین فعالیت‌های بدخواهانه‌ای است، به گونه‌ای طراحی شده است‌ که تنها از مقدار مشخصی از منابع سیستم استفاده کند که هر چه دیرتر مورد توجه قرار گیرد. از آنجایی که استخراج رمز ارزها نیاز به قدرت پردازشی بالایی دارد، مهاجمان تلاش به ورود به انواع دستگاه‌ها را دارند. از این طریق، آنها قادر به گردآوری منابع پردازشی کافی برای اجرای فعالیت استخراج با ریسک و هزینه کم خواهند بود.

نسخه‌های اولیه بدافزار استخراج نیاز داشتند تا قربانی‌ها بر روی لینک‌های آلوده یا ضمیمه‌های ایمیل کلیک کنند. ولیکن، انواع پیچیده‌تری از این بدافزار در سال‌های اخیر مورد توسعه قرار گرفته، که عمل Cryptojacking را به سطح کاملا جدیدی رسانده است. در حال حاضر، اکثریت بدافزارهای استخراج در حال اجرا از طریق اسکریپت‌هایی هستند که در داخل وب سایت‌ها پیاده‌سازی شده‌اند. این رویکرد با عنوان Cryptojacking مبتنی بر وب شناخته می‌شود.

Cryptojacking مبتنی بر وب

Cryptojacking مبتنی بر وب (یا معروف به drive-by cryptomining) معمول‌ترین نوع از بدافزار استخراج کریپتو است. به طور معمول، این فعالیت بدخواهانه از طریق اسکریپت‌هایی که از داخل وب‌سایت اجرا می‌شوند عمل می‌کند و به مرورگر قربانی اجازه می‌دهد به صورت خودکار در طول بازدید از سایت به استخراج ارزهای رمزنگاری شده بپردازد. چنین استخراج کننده‌های مبتنی بر وبی به طور مخفی در طیف گسترده‌ای از وب‌سایت‌ها بدون توجه به محبوبیت یا دسته‌بندی آنها در حال پیاده‌سازی شدن هستند. در بیشتر موارد، رمز ارز مونرو انتخاب برای انجام این کار انتخاب می‌شود، چرا که پروسه استخراج آن نیاز به مقدار منابع و قدرت پردازشی بالایی مانند استخراج بیت‌کوین ندارد. به علاوه اینکه مونرو سطوح افزایش یافته‌ای از ناشناسی و حریم خصوصی در اختیار می‌گذارد که رهگیری تراکنش‌های انجام شده را سخت‌تر می‌کند.

برخلاف باج‌افزار، بدافزار استخراج کریپتو به ندرت کامپیوتر و داده‌های ذخیره‌ شده در آن را دستکاری می‌کند. بیشترین تاثیر قابل ملاحظه در Cryptojacking کاهش عملکرد CPU است (که معمولا با افزایش سر و صدای فن خنک‌کننده همراه می‌شود). در عین حال، کاهش عملکرد CPU می‌تواند مانع کار کسب و کارها و سازمان‌های بزرگ شده و به صورت بالقوه به خسارت‌های بالا و موقعیت‌های از دست رفته منجر شود.

کوین‌هایو (CoinHive)

رویکرد مبتنی بر وب Cryptojacking ابتدا در سپتامبر ۲۰۱۷ مشاهده شد، زمانی که یک استخراج‌کننده رمز ارزی به نام کوین‌هایو به صورت رسمی به عموم معرفی شد. کوین‌هایو شامل یک استخراج‌کننده جاوا اسکریپتی است که ادعا می‌شود برای خدمت‌رسانی به یک هدف والا ایجاد شده است و به مالکان وب‌سایت‌ها اجازه می‌دهد که بدون نیاز به تبلیغات آزاردهنده از محتوای رایگان وب‌سایتشان کسب درآمد کنند.

Coinhive website

وب‌سایت کوین‌هایو

کوین‌هایو با تمامی مرورگرهای مدرن سازگار بوده و پروسه راه‌اندازی نسبتا آسانی دارد. سازندگان %۳۰ از کل رمز ارزهای استخراج شده از طریق کد را برای خود نگه می‌دارند. برای شناسایی اینکه کدام حساب کاربری از %۷۰ دیگر استفاده کند از کلیدهای رمزنگاری شده استفاده می‌کند.

با وجود اینکه کوین‌هایو در ابتدا به عنوان یک ابزار جالب معرفی شده بود، در ادامه کار مورد انتقادات زیادی قرار گرفت، زیرا این محصول بوسیله مجرمان سایبری برای تزریق بدخواهانه استخراج کننده به تعدادی سایت هک‌شده (بدون آگاهی یا اجازه مالک) مورد استفاده قرار گرفت.

در معدود مواردی که کوین‌هایو با نیت خوب پیاده‌سازی شده بود، جاوااسکریپت Cryptojacking به عنوان یک نسخه انتخابی به نام آتدماین (AuthedMine) پیکربندی ‌شد، نسخه تغییریافته‌ای از کوین‌هایو که عملیات استخراج را تنها بعد از دریافت رضایت بازدیدکننده آغاز می‌کند.

authedmine

آتدماین (AuthedMine)

به طرز غیر شگفت‌آوری آتدماین به مقیاس کوین‌هایو مورد استفاده قرار نمی‌گیرد. جستجوی سریعی در PublicWWW یا(https://www.binance.vision/security/cryptojacking.html#ftnt2)نشان می‌دهد که حداقل ۱۴,۹۰۰ وب‌سایت در حال اجرای کوین‌هایو هستند (که ۵۷۰۰ مورد آنها وب‌سایت‌های وردپرسی هستند). در سوی دیگر، آتدماین به طور تخمینی توسط ۱۲۵۰ صفحه مورد پیاد‌ه‌سازی قرار گرفته است.

در نیمه اول سال ۲۰۱۸، کوین‌هایو تبدیل به اولین تهدید بدافزاری رهگیری شده بوسیله برنامه‌های آنتی‌ویروس و شرکت‌های امنیت سایبری شد. اگرچه گزارشات اخیر نمایان می‌سازند که Cryptojacking دیگر متداول‌ترین تهدید نبوده و جایگاه اولی و دومی در حال حاضر متعلق به تروجان‌های بانکی و حمله‌های باج‌افزاری می‌باشد.

ظهور و سقوط سریع Cryptojacking می‌تواند به کار شرکت‌های امنیت سایبری مرتبط باشد، زیرا تعداد زیادی از کدهای Cryptojacking در لیست سیاه آنتی ویروس ها ثبت شده و به سرعت از طرف اکثریت نرم‌افزارهای آنتی‌ویروس کشف می‌شوند. از این گذشته، تحلیل‌های صورت‌گرفته اخیر حاکی از سودآور نبودن Cryptojacking به‌مانند گذشته دارد.

مثال‌های از Cryptojacking

در دسامبر ۲۰۱۷، کد کوین‌هایو به طور مخفیانه در شبکه WiFi تعدادی از فروشگاه‌های استارباکس در بوینس‌آیرس پیاده سازی شده بود. اسکریپت از طریق قدرت پردازشی هر دستگاهی که به آن متصل بود اقدام به استخراج مونرو می‌کرد.

CoinHive into the Starbucks WiFi network

در اوایل سال ۲۰۱۸، یک استخراج کننده کوین‌هایو که بر روی تبلیغات یوتیوب (YouTube Ads) در حال اجرا بود، کشف شد.

CoinHive running through YouTube Ads

در ماه جولای و آگوست ۲۰۱۸، یک حمله Cryptojacking با تزریق کد کوین‌هایو در مقدار بالایی از ترافیک وب، بالای ۲۰۰,۰۰۰ روتر شرکت میکروتیک (MikroTik) در برزیل را آلوده کرده بود.

CoinHive code in MikroTik routers

چگونه حمله‌های Cryptojacking را شناسایی و از آنها جلوگیری کنیم؟

اگر احتمال می‌دهید که CPU شما به طور بیش از حد نرمالی مورد استفاده قرار گرفته و فن‌های خنک‌کننده آن بدون هیچ دلیلی سر و صدا ایجاد می‌کنند، این احتمال می‌رود که دستگاه شما برای استخراج کریپتو مورد استفاده قرار گرفته است. شناسایی و از کار انداختن Cryptojacking مبتنی بر وب نسبتا ساده است، بدافزار استخراجی که سیستم‌ها و شبکه‌های کامپیوتری را مورد هدف قرار می‌دهند، از آنجایی که معمولا برای مخفی ماندن یا پنهان شدن به جای چیزی مشروع طراحی می‌شوند همیشه به آسانی قابل شناسایی نیستند.

افزونه‌های مرورگری وجود دارند که به طور موثر جلوی اکثر حمله‌های Cryptojacking مبتنی بر وب را می‌گیرند. این اقدامات پیشگیرانه در کنار اینکه به استخراج کننده‌های مبتنی بر وب محدود می‌شوند، معمولا مبنی بر یک لیست سیاه استاتیک بوده که ممکن است سریعا با معرفی روش‌های جدید Cryptojacking منسوخ شوند. از این رو پیشنهاد می‌شود که سیستم عامل خود را همراه با نرم‌افزار آنتی‌ویروس به‌روز نگه دارید.

زمانی که صحبت از کسب و کار‌ها و سازمان‌های بزرگتر می‌شود، مطلع ساختن و آموزش دادن کارکنان در خصوص تکنیک‌های فیشینگ و دزدی کریپتویی مانند ایمیل‌های خراب‌کار و وب‌سایت‌های کلاه‌بردارانه امری با اهمیت است.

نتیجه گیری:

  • به عملکرد دستگاه و فعالیت CPU خود توجه داشته باشید
  • افزونه‌های مرورگری مانند ماینربلاک (MinerBlock)، نوکوین (NoCoin) و ادبلاکر (AdBlocker) را نصب کنید؛
  • در خصوص لینک‌ها و ضمیمه‌های ایمیل احتیاط به خرج دهید؛
  • آنتی‌ویروسی قابل اطمینان نصب کنید و نرم‌افزارهای کاربردی و سیستم‌عامل خود را به روز نگه دارید؛
  • برای کسب و کار‌ها: به کارکنان خود درباره دزدی کریپتویی و تکنیک‌های فیشینگ توضیح دهید.

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.