Těžba kryptoměn v péči CSIRT.CZ

Minulý týden jsme byli upozorněni, že zadáme-li do vyhledávače kouzelná slůvka `intitle:“var miner = new CoinHive“ site:cz`, dostaneme stovky stránek, na nichž se těží kryptoměna. Skutečně, zdálo se, že se nám pod rukama rozdmýchává epidemie zlaté horečky.

Stáli jsme před otázkou, zda jsou majitelé domén oběťmi malwaru, či zda provozovatelé webů těžební kód umístili do svých stránek záměrně. Neřešme nyní, zda umístit bez vědomí návštěvníků do stránek těžební kód jako alternativu reklamy, jak se o tom poslední dobou v každém elektroničtějším kuloáru rokuje, je etické čili nic; CSIRT.CZ nemá rozhodovací pravomoc.

Máme začít majitele stránek informovat? Není naším záměrem plnit někomu e-mailovou schránku zbytečně. Pohled do seznamu stránek však stačil. Dobrovolný sbor hasičů, stavební společnost a prodejce podlah, poradna životního stylu… to nejsou provozovatelé, kteří vypadají na to, že by se vezli na špici módní těžební vlny a na své stránky kód umístili vědomě. Letmá kontrola a hraní si s vyhledávacími operátory navíc brzy ukázalo, že vytížené procesory plní peněženku téhož šťastlivce darebáka.

Další šetření pak přineslo docela jiné překvapení: přestože Google ze začátku uváděl 972 napadených stránek, když jsme se pokusili přejít na čtvrtou stránku výsledku (počítejme na stránku 10 výsledků), zjistili jsme, že stránek je k dispozici pouze 39. Přičemž se ale nabízelo klepnout na nápis „zopakovat vyhledávání a zobrazit i vynechané výsledky“. Po zobrazení vynechaných výsledků Google uváděl 963 jako celkové číslo, ale když jsme došli k šestistému výsledku, oznámil, že čtyři výsledky byly vynechané z důvodu jistého zákona a seznam skončil, jako když utne. … nepátral jsem na blozích společnosti Alphabet o důvodech nekonzistence, naopak jsem vděčně přijal fakt, že stránek je jenom několik. Tedy žádná revoluční epidemie! Mohl jsem tak seznam domén z vyhledávače vytáhnout jednorázově přímo přes DOM ve webovém prohlížeči.

Následně jsme na pravděpodobnou kompromitaci stránek upozornili provozovatele 35 domén a zaznamenali jednu kladnou a čtyřiatřicet žádných reakcí.

Během následujících dnů však těžební kód ze stránek mizel a byl dostupný pouze z archivu vyhledávače; situaci jsme monitorovali.

Pokud by stránky raketově přibývaly, bylo by nasnadě začít je vyhledávat proaktivně a automaticky nebo najít spolehlivý zdroj seznamu domén používajících kryptotěžbu. Brát je z ručního vyhledávání Google je časově náročné, Custom Search API je velmi omezeno a pro tento případ se spíše nehodí (nelze příjemně filtrovat nové výsledky anebo žádat jediný výsledek per doména). Raketový start se však nekonal. Stránky se postupně rozrůstaly o několik stovek, nyní se jejich počet sešplhal na 1200. Pro představu: při použití filtru na Slovenskou republiku dostáváme počet 13200 stránek; bez filtru pak celosvětově 17500. Jak velí přílivové vlny v hloubi indexu Googlu, počet stránek se mění, počet domén ale víceméně zůstává; přibyla jen jedna nová. Navíc se ukázalo, že se nejedná o novou nákazu, ale o projekt běžící možná už celý rok.

Byť jsme dostali zprávu, že některé antiviry označují stránky jako nebezpečné, podobně jako v případě útoku typu defacement, kdy útočník pouze změní vzhled stránky, ale nezanechá žádný malware, ani těžební kód není sám o sobě malwarem – pouze ukazuje na vysokou pravděpodobnost toho, že stránka byla kompromitována.

Měli jsme hypotézu, že všechny stránky využívají WordPress a můžeme možná vypátrat a opravit zranitelný plugin; měli jsme hypotézu, že všechny stránky pocházejí od jednoho slovenského webhostera. Ani jedno se ale nepodařilo prokázat. Způsob útoku a obsah nákazy bývají dvě nezávislé věci a v tomto případě tomu dle mne nebylo jinak.

Postupujme jako v případě jakékoli jiné nákazy; zlikvidovat veškerý cizí kód, vyměnit hesla, zkusit zjistit, odkud nákaza přišla – a nejlépe podělit se s komunitou.

Autor:

Komentáře (3)

  1. drago říká:

    V těchto případěch by bylo fajn spolupracovat třeba se Seznamem. Ten má procrawlovaný celý český internet, případně homepage crawluje každý den. Z jejich databáze by se snadno dalo vytáhnout kolik webů je postižených. Navíc jejich bota si nikdo nedovolí bloknout. Google neřešte s těmi se nic domluvit nedá.

    Kontaktovat majitele domény přes e-mail moc nefunguje. Zvláště u problémových webů se jim často o web někdo „stará“ resp. nahraje WordPress a pak to nechá na automatické aktualizaci anebo jednou za čas na to koukne. Majitel nemusí pravidelně ani sledovat svůj e-mail, když má web jako doplňek třeba k podnikání, případně to smaže protože tomu nerozumí. Psal bych přímo hostingu, ti vedou kontaktní osobu, která web zřizovala (koupila hosting, nasměřovala doménu), a dokáží jí rychle oslovit když je problém.

  2. Edvard Rejthar říká:

    Dobrý den,
    spolupráce se Seznamem je dobrý nápad; pokud by byla kalamita, zřejmě bych se na ně obrátil. Situaci poslední dny stále monitoruju a počet stránek neroste, zatím tedy žádné kroky neplánuji podniknout.
    S majiteli máte pravdu, v tomto případě jsem skutečně psal i hostingům.

    S pozdravem
    Edvard Rejthar

  3. Daremo říká:

    Edvard Rejthar, thanks so much for the post.Really thank you! Great.

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.