南顺网络

一年内成为网络安全头号敌人，挖矿代码如何黑遍各大网站

多家安全公司最近将加密货币挖矿服务Coinhive定为Web用户最大的威胁，这归咎于使用Coinhive的代码的网站被黑客入侵，窃取了访客设备的处理能力。本文探讨Coinhive在推出不到一年后如何跃居威胁排行榜第一，并探索关于这个服务背后参与者的身份线索。

Coinhive是一种加密货币挖矿服务，靠的是一小段嵌入网站的代码。该代码借用访问网站的浏览器的部分或全部计算能力，将该机器列到一个竞价系统中，用于挖掘Monero加密货币。

Monero与比特币的不同之处在于，交易是不可追溯的，外部人无法追踪双方之间的Monero交易。自然，这种特性使得Monero对于网络犯罪分子特别有吸引力。

Coinhive去年夏天发布了它的挖矿代码，宣称站长们不需要投放侵入性、讨厌的广告也可以获得收入。但后来Coinhive的代码已成为多家安全公司追踪的头号恶意软件。这是因为大部分情况下代码都安装在被黑的网站上，所有者不知情也未授权。

就像被恶意软件或特洛伊木马感染一样，Coinhive的代码经常会锁定用户的浏览器，并耗尽设备的电池，只要访问者浏览网站，它就会全程挖掘Monero。

目前有近32， 000 个网站运行Coinhive的JavaScript矿机代码。很难说其中有多少网站有意安装了这些代码，近几个月来黑客已经秘密地将代码嵌入到了一些非常流行的网站上，包括“洛杉矶时报”官网、移动设备制造商Blackberry、Politifact 和Showtime。

而且代码还在一些意想不到的地方出现。 12 月，Coinhive代码被发现嵌入在布宜诺斯艾利斯星巴克Wi-Fi热点的所有网页中。 1 月的大约一周时间里，Coinhive被发现隐藏在日本、法国、意大利、西班牙和中国台湾的YouTube广告内(通过Google的DoubleClick平台)。 2 月，Coinhive在Textalp提供的“Browsealoud”上被发现，该服务为视障人士朗读网页。除了一些美国和加拿大政府网站之外，该服务还在英国许多政府网站得到广泛使用。

Coinhive会从中得到什么?无论网站是否同意运行它，Coinhive都会从网站获得的Monero加密货币抽成30%。该代码与一个特殊的密钥绑定，密钥标识哪个用户帐户会收到另外70%的收入。

Coinhive确实接受投诉，但它通常只回应被黑网站主人的投诉(对大部分第三方提出的投诉不予理睬)。更糟糕的是，当Coinhive对投诉作出回应时，它只是让秘钥失效而已。

但据安全专家Troy Mursch说，他花很多时间跟踪Coinhive和其他“密码劫持”请求，解绑密钥并不会阻止Coinhive的代码继续在黑客攻击的网站上挖掘Monero。一旦密钥失效，挖掘的加密货币会100%归Coinhive所有。

Mursch说，Coinhive似乎毫无动力监控滥用代码的行为。

他们'终止'一个密钥时，只是禁用了平台上的用户，不会阻止恶意JavaScript运行，这只是意味着关联的Coinhive用户不会得到报酬。代码一直在运行，而Coinhive获得了所有的收入。也许他们对此无能为力，或者他们不想。但只要代码仍然在黑客攻击的网站上，它一直在赚钱。

对于这种明显的利益相关，Coinhive的回应很官方，声称正在努力修正。

“我们在假设网站密钥是不可改变的前提下开发了Coinhive，”Coinhive回复道。“用户无法删除站点密钥。这极大地简化了最初的开发。我们可以在WebSocket服务器上缓存站点密钥，而不是从每个新客户端的数据库重新加载它们。我们正在研究一种机制将密钥的失效告知WebSocket服务器。”

AUTHEDMINE代码诞生

Coinhive通过发布新版本“AuthedMine”来回应这种批评，该代码旨在运行Monero挖掘脚本之前先征求网站访问者的授权。Coinhive号称使用其平台的挖矿活动中约35%来自使用AuthedMine的网站。

但根据 2 月份由安全公司Malwarebytes发布的报告，与不需要网站访客允许的挖矿代码相比，AuthedMine代码“几乎没人使用”。Malwarebytes的病毒警报数据显示，涉及Coinhive的挖矿代码的所有案例中，AuthedMine的使用率略高于百分之一。

插图：以上统计数据显示 1 月 10 日至 2 月 7 日期间每天Malwarebytes阻止AuthedMine和Coinhive的连接次数。

当被要求评论Malwarebytes的调查结果时，Coinhive回答说，如果使用AuthedMine的人相对较少，这可能是因为像Malwarebytes这样的反恶意软件公司已经让人们无利可图。

“他们认为可供选择的版本是威胁并阻止它，”Coinhive说。 “没有人会使用AuthedMine，因为它被杀毒软件阻止了? 如果杀毒软件认为“挖矿不好”，那么采矿就是不好的。”

同样，源代码跟踪站点publicwww.com的数据显示，大约32， 000 个站点正在运行原始Coinhive挖矿脚本，而该站点列出的运行AuthedMine的站点仅有1， 200 个。

Cionhive到底是谁?

根据Coinhive网站的原先的一份声明，Coinhive诞生于德语图像托管和论坛pr0gramm.com的一项实验。

的确，pr0gramm.com上的多个讨论主题显示，Coinhive的代码在 2017 年 7 月的第三周首次出现。当时实验被称为“pr0miner”，并且这些线索表明负责pr0miner的核心程序员使用 pr0gramm上的昵称“int13h”。Coinhive证实“当时大部分工作都是由int13h完成的，他仍然在我们的团队中。”

当被要求解释为什么与pr0gramm关系那段声明被删除， Coinhive说是为了图便利：

“pr0gramm由几个好朋友发起，我们过去曾帮助他们完成基础设施和各种项目。 他们让我们用pr0gramm作为挖矿的试验台，并让我们用他们的名字来获得更多的背书。对于小白来说，发布一个新平台很困难。后来我们小有名气，就不再需要这个声明。”

在被要求澄清其声明中提到的“平台”(“我们是自筹资金并且在过去 11 年一直运行这个平台”)时，Coinhive回答说：“对不起，没有写得更清楚：'这个平台'的确是pr0gramm“。

也许可以通过确定pr0gramm论坛管理员的身份来找出谁在运行Coinhive。如果他们不是同一批人，那么pr0gramm管理员肯定会知道Coinhive背后的人是谁。

编辑:--ns868