【災情持續擴大,全球每天新增300個挖礦網站】黑色產業覬覦瀏覽器挖礦,5億訪客不知電腦變礦工



「天啊!上線8天,用量從每秒10萬次,暴增到每秒1,350萬次。」足足是135倍的爆量成長。瀏覽器挖礦服務Coinhive團隊在官網第一周營運報告中,毫不隱瞞自己的驚訝,也向數百封抱怨伺服器滿載的使用者投訴信,統一致歉。

9月14日,Coinhive剛推出了一項新型態的虛擬貨幣採礦平臺Coinhive,這是一個可在瀏覽器環境,用JavaScript執行球門羅幣(Monero,代號XMR)挖礦計算的服務。上線第一天,每秒只有10萬次挖礦雜奏運算(Hash)的API呼叫,但是,到了第8天,Coinhive平臺累計的挖礦雜奏運算呼叫次數,就爆衝到每秒1,350萬次呼叫,占了門羅幣這個全球第六大虛擬貨幣整體區塊Hash值計算量的5%,同時連上Coinhive的WebSocket連線數,多達220萬個,若以預設值每臺電腦用3個WebSocket連線數估算,相當有73萬臺電腦成了挖礦機。

原本Coinhive平臺所有系統,都部署在單一臺伺服器上,Coinhive也緊急在幾天內擴充到38臺主機規模的分散式叢集(28臺WebSocket代理伺服器、6臺Web伺服器、2臺資料庫伺服器和2臺維運用VPS),才撐住百倍爆量的需求。

但,Coinhive團隊的驚喜,旋即成了全球網民的痛苦。因為許多挖礦電腦的擁有者,並不知道自己的筆電、PC,或是手機,都成了暗中幫陌生人賺錢的挖礦機,CPU運算滿載,系統效能遲緩,甚至連打開文書處理軟體要寫份報告,都要等上好久。

9月15日,全球最大BT種子網站的使用者最先傳出災情,發現每次瀏覽海盜灣首頁,CPU使用率都會突然衝破80%,直到關閉網頁才停止。分析網頁程式碼後發現,海盜灣暗中執行Coinhive程式來挖礦,但沒有坦白告知而引用戶不滿,甚至鬧上媒體。

海盜灣事件讓Coinhive這個瀏覽器挖礦程式聲名大噪,廣大引起的關注,甚至引來了黑色產業的覬覦。趨勢科技研發部資深工程師王博榮指出,看上挖礦程式可以無風險地賺取虛擬貨幣利益,開始有黑色產業濫用Coinhive挖礦程式,將Coinhive挖礦程式惡意植入他人網頁。像趨勢科技就在9月19日時首次發現,惡名昭彰的惡意廣告組織ElTest,展開了植入Coinhive程式偷挖礦的活動,追查之下,早在9月14日,趨勢全球用戶已有人連上了暗藏Coinhive挖礦程式的網頁,最高峰是9月20日,一天內高達7萬次連線。

王博榮表示,觀測到9月底,嵌入Coinhive挖礦程式的網站,45%是英文語系,又以盜版影片網站和部落格為大宗,在臺灣也有幾個部落格上榜,不過多數網站都會首頁告知,一旦連上該網頁,就會用使用者的CPU來挖擴,若不願意提供CPU資源也可關閉,讓使用者選擇。

不過,依照趨勢科技的統計,全球每天至少增加300個藏有Coinhive挖礦程式的網站,甚至,95%以上的網站都未經用戶同意或告知,就開始偷偷挖礦。

依照趨勢的監控,黑色產業最初利用Coinhive的事件是發生在9月19日,EITest利用技術詐騙網頁的方式,讓用戶在不知情的情況下,淪為礦工,王博榮指出,這類的攻擊手法,是透過網站伺服器上執行的軟體系統,辨識造訪網頁用戶的電腦軟體漏洞,並藉機植入惡意程式。

舉例來說,駭客會發送偽裝成微軟技術解決的提醒視窗,提醒用戶的電腦系統,已經被惡意軟體侵害,但是用戶卻無法關閉該視窗,接著,該網頁就就會從Coinhive的伺服器上,下載JavaScript的挖礦腳本,並偷偷將用戶的電腦,變成一個礦工。

黑色產業開始覬覦,3周災情就蔓延全球

黑色產業覬覦瀏覽器挖礦,災情越演越烈。知名廣告過濾服務AdGuard展開了一項全球性的網站清查,緊急在10月12日公布了結果。AdGuard發現,海盜灣網站不是特例,Alexa排名前10萬的網站,有220個網站,暗藏了挖礦程式,其中最大者是在法國排名70大的檔案分享平臺Uptobox,每月訪客數多達6,000萬人次,臺灣也有4個網站上榜。這批網站每月平均訪客,累計多達5億人次,若不考慮一人造訪多個網站的重複情況,可以說,全球這5億名訪客的電腦,都成了挖礦機,在瀏覽這批網站時,偷偷地暗中挖礦。

這些網站大多沒有告知使用者,就像是偷用使用者的瀏覽器來挖礦,像Uptobox技術長緊急出面解釋,暗中執行挖礦程式而未告知,是為了測試新的營收模式,事件曝光後,也承諾會改回原來的網路廣告模式。

綁架10萬臺PC的瀏覽器挖礦,能獲利多少?

根據Check Point估計,目前每天約可以挖出720個門羅幣區塊,獎勵金合計有4,464個門羅幣。而一般PC的算力,啟用4個瀏覽器執行緒時,每秒可以計算出45個Hash值,相較於全球門羅幣的算力是每秒2億6,612.2萬個Hash,按算力比例,一臺PC執行一天可以賺到0.000754個門羅幣。以10月底門羅幣每顆約88.46美元的幣值,挖礦網站若能綁架10萬臺PC,連續執行1天挖礦程式,就可以不勞而獲,賺到相當於臺幣20萬元的收入。

暗中測試這種靠用戶挖礦獲利的網站,不只Uptobox,AdGuard後來還發現,美國知名CBS媒體集團旗下,有百萬用戶的影音串流服務Showtime.com網站也藏了Coinhive程式,直到事件曝光後就移除了,但Showtime拒絕說明這是主動測試還是網站遭駭。

挖礦綁架植入手法開始多元化

這種綁架使用者瀏覽器暗中挖礦的行為,開始出現一個專有名詞「挖礦綁架」(Cryptojacking)來形容,成了專家資安威脅清單上最新一項威脅,趨勢科技、Fortinet、Check Point等資安業者相繼投入研究,甚至開始攔截,或列入要阻擋的惡意威脅清單。

如廣告過濾軟體如AdGuard開始提供阻擋機制,而防毒軟體Avast則是當用戶瀏覽這類網站時,直接阻擋挖礦程式碼。Check Point也將這類挖礦綁架的網頁視為重大威脅,在自家安全閘道器產品中列入封鎖名單。更有電信業者,如中華電信開始將Coinhive網址列入企業資安黑名單,禁止用戶瀏覽。CDN業者Cloudflare也開始封鎖那些擅自利用使用者電腦資源採礦的帳號與服務。Coinhive官方更因產品遭濫用而出面道歉,並推出了會強制跳出告知說明的新版JavaScript挖礦程式,但,舊版本仍持續服務。

不過,瀏覽器挖礦技術還在持續變化,而挖礦綁架手法也開始進化,一來開始出現更多種類的挖礦程式,除了Coinhive,還有JSEcoin、CryptoLoot、MineMyTraffic,以及10月底出現的Papoto,有意用瀏覽器挖礦者開始有更多選擇,而資安黑名單要封鎖的挖礦程式網址,也越來越多,甚至防不勝防。

挖礦腳本程式植入手法越來越多元,先前大多是藏在網頁頁尾程式碼中,但最近,網站安全公司Sucuri就發現了好幾種新手法,一來是將Coinhive程式碼加密,降低被發現的機率,另一種是直接植入知名部落格平臺WordPress核心網頁,如管理模組標頭網頁admin-header.php,或通用範本檔general-template.php中,第三種Sucuri發現的新手法則更難偵測,挖礦腳本程式直接寫入了開源電商平臺Magento的資料庫,當你打開購物車程式,從資料庫取出的不是訂單資訊,而是要來綁架瀏覽器的挖礦程式。而資安公司Check Point則發現,有影音網站跳出的Flash Video Player安裝提醒視窗中,也會暗中執行挖礦程式。甚至,WordPress已有一項挖礦免費擴充套件,直接安裝就可以啟用瀏覽器挖礦功能,來偷用用戶的CPU資源。王博榮表示,這款套件預設是不開啟使用者告知機制。趨勢科技甚至發現了多款含有採礦能力的行動App,利用內建Webview動態載入JavaScript與原生程式碼注入來閃避偵測,其中有兩款App用的就是Coinhive的挖礦程式。

如何避免自家電腦淪為礦工?

一般用戶可以開啟系統監控CPU使用率的工具,是否連上特定網頁時,CPU使用率突然飆高,關掉網頁後卻又恢復正常,就可能藏有挖礦程式。或使用Chrome瀏覽器時,按下F12打開開發者工具,查看Network功能分頁,若開啟的網頁藏有挖礦程式,會出現異常網路流量,或有不尋常的wasm檔案。

而在企業端,王博榮建議,因挖礦網站須連回Coinhive伺服器才能進行挖礦作業,因此,企業只要封鎖Coinhive網址的連線行為,就能阻止。目前也有廣告過濾程式如AdBlock Plus和AdGuard可以直接阻擋Coinhive的JavaScript程式,Chrome瀏覽器也出現了幾款專門封鎖挖礦行為的外掛,如AntiMiner、No Coin、MinerBlock等。

《全文請見iThome(https://www.ithome.com.tw/news/117995)》