Mit csinálnak a kripto hackerek és hogyan gazdagodnak meg?


Hozzáadva: 2021. Július 24. Megtekintve: 231

A blokklánc technológia és a kriptovaluták fejlődése teljesen megváltoztatja az internetes fizetések világát. Mára rengeteg blokklánc alapú rendszer és kriptovaluta áll rendelkezésre a vállalatok és a magánszemélyek részére, de ezek a rendszerek továbbá lehetőséget adnak a rosszindulatú felhasználóknak is, akik a gyanútlanok számítógépes erőforrásait jogosulatlanul próbálják meg kiaknázni. A támadók részére készre gyártott szkripteket bocsát például a Coinhive, a lenyomozhatatlan kriptovaluták mint például a monero továbbá pedig jól használható támadási eszközként képes szolgálni a kripto hackereknek. A való életben igen jól használják ezeket, mert fő kereskedelmi weboldalak, kormányok és hadseregek által üzemeltetett weboldalak is (például az amerikai védelmi minisztérium weboldalai), online videómegosztó oldalak (YouTube és hasonlók), játék platformok (Nintendo), de akár a nemrégiben fellendülésnek indult internetes konferencia platformok, mint a Zoom is estek már áldozatul kripto hacker támadásnak.


Igaz ugyan, hogy léteznek kriptobányász vírusprogramokat detektáló böngészős kiegészítmények, amelyek feketelistára képesek tenni bizonyos káros szoftvereket különböző analitikai technikák segítségével, viszont ezek csak részleges megoldást adnak a problémára mert a kripto hackerek könnyedén el tudják kendőzni tevékenységüket, gyorsan változtatják domainjeiket illetve szkriptjeiket. Erre válaszul sokan foglalkoznak dinamikus vírus detektáló megoldásokkal is. Ezek a környezet változásait lereagálva adaptív módon próbálnak meg vírusirtó tevékenységet végezni.


Bevezetés


A bitcoin 2009-es megjelenése óta a bankszektor és a kereskedői szféra is egyre jobban érdeklődik a kriptovalutás megoldások iránt. A kriptopénzekben történő számolás és a velük való üzletelés olyannyira elterjedt, hogy számtalan olyan pénzügyi szervezet létezik már, amely a kriptovalutákra mint tényleges és elfogadható pénzügyi rendszerekre tekint. 2021-re több mint 2000 kriptovaluta jelent meg, de a legnagyobb érdeklődés 2017-ben volt mérhető, amikor is 1 milliárd amerikai dollárt ölelt fel a kriptopénzek teljes piaci értéke.


Egy nemrégiben a Kaspersky által elvégzett felmérés szerint a világ népességének már több mint 19%-a vásárol valaha kriptovalutát, de tudjuk hogy kriptovalutákba nem csak közvetlen vásárlással lehet befektetni. A befektetők kriptobányákat is nyithatnak és ezekkel is tudnak profitra szert tenni. A kriptobányászat jövedelmezősége kecsegtető a rosszindulatú kripto hackereknek is. Ezek a különleges informatikai képességekkel rendelkező egyének programokkal fertőzik meg a gyanútlan felhasználók számítógépeit kriptovaluta bányászat céljából. A jogosulatlan kriptobányászat jelentős elektromos áramot fogyaszt az áldozat hálózatából és lassítja annak számítógépét, míg a kripto hacker a számítási teljesítményt a saját meggazdagodásának céljából használja fel. Magyarul kriptovalutát állít elő magának.


Az angol irodalomban az ilyen kártékony számítógépes vírusokkal történő jogosulatlan kriptovaluta bányászatot “cryptojacking”-nek hívják. Mióta a Coinhive és a CryptoLoot (és egyéb más szolgáltatók) internetes böngészőkbe beépülő kriptobányász szkripteket bocsátanak piacra, a kripto bányász támadók könnyedén el tudnak érni több száz vagy akár ezer áldozatot is a népszerű weboldalak segítségével.


Böngészőbe épülő kriptobányász vírusok


Az egyik legnevesebb ilyen támadás során a Google YouTube-on megjelenő hirdetési csomagjába fecskendeztek kriptobányász vírust.


A megfertőzött reklámcsomag az áldozatok gépein jogosulatlanul bányászott kriptovalutát, amíg azok egy bizonyos weboldalt böngésztek. A YouTube és a hozzá hasonló digitális tartalmakat rendelkezésre bocsátó szolgáltatók kiválóak a támadók számára, mert a legtöbben megbíznak bennük, népszerűek és a felhasználók akár több órát is tölthetnek a platformokon, magyarul sokáig tudnak kriptovalutát bányászni az éj leple alatt.


Egy másik neves támadás során az angliai kormány által rendelkezésre bocsátott pluginba tettek kriptobányász vírust.


A plugint egyébként egy bizonyos időben több ezer kormányok által üzemeltetett és magán weboldal használta.


Kriptovírusok nagy fontosságú szervereken


A kriptobányász vírusokat egyébként nem csak weboldalakba, hanem szigorúan őrzött kormányok által üzemeltetett (és akár katonai) szerverekbe is bele szokták csempészni. Az amerikai védelmi minisztérium (Department of Defense) egy digitális felderítő akció során a saját szerverein kriptopénzt bányászó programot fedezett fel.


A kriptobányász szkriptet végül kiderült, az előbb említett Coinhive szolgáltatta és 35.4 monero-t bányászott ki (ma megközelítőleg 7000 USD vagy 2.1 millió forint).


Hasonló történt az orosz nukleáris fegyver kutató intézetben. Az interfax jelentéséből kiderült, hogy az intézet számos munkatársát letartóztatták, mert a munkahelyi gépeikre kriptobányász szoftvereket telepítettek.


A támadók nem csak rosszindulatú szkripteket használnak, hanem bizonyos esetekben a hivatalos kriptobányász szoftvereket írják át. Egy kiberbiztonsági cég például nem szokványos adatátvitelt detektált egy európai botnet irányába egy olasz bankból. További kutatómunka rávilágított a program tényleges működésére és kiderült hogy az bitcoin-t bányászott.



A kriptobányász vírusokat egyébként kifinomultabb technikák segítségével is el tudják juttatni az áldozatok számítógépére. A Vollgar-nak nevezett botnet például két éven keresztül támadott MySQL adatbázisokat és az admin felhasználók segítségével bányászott kriptovalutát az adatbázis szervereken. Egy másik eset során a koronavírus pandémia alatt széles körben elterjedt Zoom videókonferencia alkalmazást fertőzték meg és a kriptopénzt is bányászó bináris állomány különböző fájlmegosztó platformokon tették közzé.


Voltak olyan esetek is, amelyek során játék konzolokat támadtak meg, ilyen kriptó hack támadást szenvedett a Steam és a Nintendo Switch is.


Végezetül pedig érdemes megemlíteni az egyik legnagyobb hálózati eszköz gyártó, a Mikrotik esetét, amelynek során 1.4 millió MikroTik routert fertőztek meg kriptopénz bányászó szoftverrel és ezt minden egyes kimenő webes kapcsolatba sikerült befecskendezni a támadóknak.


A kriptobányász vírusok detektálása


Mivel a kriptovaluták és a kriptovaluta bányászat egyre inkább elterjedőben van napról napra fontosabbá válik a jogosulatlan kriptovaluta bányászatra fejlesztett vírus jellegű szoftverek detektálása, mert ezek ellenőrizetlen mennyiségben és minőségben képesek felemészteni a céleszköz informatikai erőforrásait. Nyilván ez nagyon fontos lenne, azonban gyakran a már eddig megjelent számítógépes vírusok ellen bevetett technikák nem mindig alkalmazhatók. Ez főleg a következő okok miatt van: A kriptobányász vírusok nem valamilyen személyes vagy védett információt lopnak el a gazda számítógépről, mint ahogyan azt az eddig ismert malware-ek tették, hanem “csak” az erőforrásokat merítik ki.


Az eddig már alkalmazott technikák során a számítógépes vírusok működését figyelték meg és azokat mivel jól lehetett lokalizálni, azok blokkolása sem volt túl nehéz. A kriptobányász malware-ek azonban az erőforrások lefoglalása után csupán a bányászathoz szükséges kiszámított hash értékeket küldik vissza a támadónak. A kriptobányász vírusirtók így tehát olyan programokat próbálnak meg detektálni, amelyek sok erőforrást foglalnak. Másodsorban pedig a probléma abban keresendő, miszerint ezeket a kriptobányász szoftvereket olyan weboldalakba csempészik be, amelyek általában megbízhatók és a felhasználók alapvetően nem számítanak ilyen jellegű támadásokra ezekről az oldalakról. Harmadrészt pedig fontos különbség rejlik továbbá abban is, hogy míg az eddigi számítógépes vírusok személyes információkat próbálnak meg kilopni, megpróbálják ellehetetleníteni az áldozat számítógépét vagy megpróbálják átvenni az irányítást afölött, addig a kriptobányász vírusok célja a hosszú ideig való leleplezetlen futás, mivel a kriptobányász hozama egyenesen arányos a futási idővel. Ennek következtében a támadók tehát olyan elrejtési és szűrési technikákat alkalmaznak, amelyek segítségével viszonylag sokáig leplezetlenül képesek kriptopénzeket bányászni az áldozat gépén.


A kriptobányász vírusok jelenléte mára olyan súlyos probléma az informatika világában, hogy számos tudományos kutatócsoport foglalkozik ezzel a területtel és nem lehet elégszer hangsúlyozni a védekezési mechanizmusok kifejlesztésének fontosságát.


A nemrégiben közzétett biztonságtechnikai kutatások eredményei alapján kiderül, hogy a kriptobányász vírusok komolyabb platformokat is megtámadnak. Ilyen vírusok áldozatává lesznek például cloud szerverek, Docker motorok és IoT eszközök nagy méretű Kuber-netes klaszterek is. Az áldozat gépének megszállásához a támadók hardwares hiányosságokat, nyilvánosan közzétett sebezhetőségeket, rosszul beállított IoT eszközöket, Docker motorokat, Kubernetes klasztereket rossz biztonsági beállításokkal és népszerű DDoS botneteket használnak ki.


Kiderül továbbá az is, hogy a kriptobányász vírusokat tartalmazó internetes weboldalak, gyakran frissülnek, emiatt fontos lenne ha sikerül is detektálni egy bányászó vírust, hogy valamiféle dátumozott adatbázist készítsenek az esetekről.


Fontos lenne azt is tudni, hogy a javasolt védekezési mechanizmusokat alkalmazzák-e egyáltalán és ha igen, akkor azok milyen mértékű terhelést rónak a gazda gépre. Ez elég fontos lenne a böngészőkbe épülő védekezési mechanizmusok esetében. Egyenlőre még úgy tűnik, nem nagyon foglalkoznak ezzel a kérdéssel a böngészők fejlesztői és az egyszerű felhasználók továbbra is ki vannak téve az ilyen jellegű támadásoknak.



A kriptovaluták világában továbbra is folynak a tudományos kutatások. Sok tudományos cikk jelenik meg a bitcoin és a blokklánc területén, de ezek főleg a különböző közmegegyezési mechanizmusokról, a bányászatról, a protokollok javításáról és egyéb témákról szólnak, de szinte egyáltalán nem esik szó a kriptovaluta bányász vírusokról, malware-ekről.


Kriptovalutákról egyszerűen


A kriptovaluta hálózatok fennállásához a kriptovaluta bányászat mint olyan elengedhetetlen. Jelenleg a kriptovaluta bányászat a legtöbb országban nem minősül illegális tevékénységnek és pénzt lehet vele keresni. A kripovírusok azonban pontosan ezt használják ki, nem túlságosan etikus módon.


A blokklánc


A blokklánc egyszerűen fogalmazva egy olyan elosztott adatstruktúra, amely a tranzakciókban közvetlenül résztvevő felek között történő tranzakciók adatait tárolja megmásíthatatlan módon. A blokklánc struktúrája blokkokból áll és a bitcoin esetében a blokklánc két adatmezőt tartalmaz. Ez a fejléc és a tranzakciós mező. A fejléc a következő adatokat tárolja:


1) Az előző blokk hash értéke


2) Verzió


3) Időbélyeg


4) Cél nehézség


5) Nonce érték


6) A Merkle fa gyökere


Mivel minden egyes blokk tartalmazza az előző blokk hash értékét a struktúra matematikailag össze van láncolva. A láncolat következtében nincs lehetőség megváltoztatni a már egyszer hozzáadott blokk tartalmát. A blokk második rész pedig az egyenként hitelesített tranzakciós adatokat tartalmazza.


Kriptovaluta bányászat


A blokklánc megmásíthatatlanságát egy közmegegyezési mechanizmus biztosítja. Ilyenből sokféle van, az egyik legegyszerűbb talán a PoW vagy angolul a proof-of-work protokol. A blokkok és az teljes blokklánc megmásíthatatlansága a blokklánc struktúrának köszönhető. A PoW hitelesítés során a hálózat bizonyos résztvevői hash értékekeket számolnak ki és a hiteles értéket terjesztik be a hálózat többi résztvevője számára. Az első olyan résztvevő, akinek sikerül egy hiteles hash értéket benyújtani jutalmat kap és begyűjtheti a tranzakciós díjakat is. A hiteles hash értéknek teljesíteni kell az előbb említett nehézségi cél feltételt és ha ezt a többi résztvevő is elfogadta, akkor a résztvevő megkapja a jutalmát. Léteznek különböző PoW megoldások, és ezek mind más módon definiálják a nehézségi célt. A kriptovaluta bányászok nem csinálnak mást, mint a nonce értéket változtatják mindaddig, amíg nem találják meg a hiteles hash értéket. Amint ez sikerült, a teljes tranzakciós blokk beterjesztésre kerül és a blokkot hozzáadják a már addig a blokklánchoz fűzött blokkokhoz. Ezt a folyamatot hívjuk kriptovaluta bányászatnak és ez az egyetlen módja az új kriptovaluták előállításának.


A hiteles hash érték megtalálásának valószínűsége egyenesen arányos a bányász által egy másodperc alatt előállított hash értékeinek számával és ezt pedig a bányász programot futtató hardware-el lehet szabályozni. Megjegyzendő azonban, hogy a nagyobb teljesítményű hardware-ek több elektromos áramot fogyasztanak. Ebből fakadóan a kriptobányász vírusokat fejlesztő és terjesztő hackerek nagy motivációt éreznek a jogosulatlan számítógép használatra. Nyilván nem szeretnék a saját villanyszámlájuk terhére bányászni a kriptovalutákat.


A kezdeti időkben, amikor a bitcoin még új volt, a bányászat hagyományos processzorokkal történt és az egyszerű felhasználók is csatasorba tudták állítani számítógépeiket bitcoin bányászatra. Az idő múltával azonban egyre jelentősebb lett a videókártya alapú kriptovaluta bányászat térhódítása, mivel a videokártya chipek sokkal inkább alkalmasak primitív számítások nagy mennyiségben történő elvégzésére. Később FPGA (Field Programmable Gate Array, Mezővel Programozható Kapu Tömb) áramköröket kezdtek tervezni ugyan erre a feladatra és ezek még jobb hozamot mutattak, mint a CPU vagy a GPU alapú kriptovaluta bányászat. Végezetül pedig az ASIC (Application-Specific Integrated Circuit, Alkalmazásorientált Nyomtatott Áramkörök) kezdték átvenni az irányítást és a bitcoin bányászata jelenleg szinte teljes mértékben ilyen jellegű áramkörökkel történik. Igaz azonban az is, hogy az alternatív kriptopénzek más jellegű hitelesítési eljárásokat is bevezettek. A monero esetében például a hash értékeket egy CryptoNight-nak nevezett algoritmussal számolják ki és ez CPU-n és GPU-n továbbra is jól futtatható. Az algoritmus a feldolgozó chippek L3 cache-ét használja ki, így ASIC bányászokkal lehetetlen bányászni a CryptoNight alapú kriptopénzeket. A monero által bevezetett RandomX algoritmus teljes mértékben ki tudta húzni a szőnyeget az ASIC bányászok talpa alól és a monero-t a mai napig processzorok és esetleg néha videokártyák segítségével bányásszák. A monero így meglehetősen gyorsan el tudott terjedni és ma is széles körben bányásszák azt az egyszerű felhasználók is. A monero-ról ismert továbbá az a tény is, hogy magasfokú anonimitást nyújt a felhasználók számára és a tranzakciós adatok nehezen visszafejthetők (bár ezt a kijelentést nem kell teljes mértékben elfogadni, mert az ellenkezője is kiderült már… lásd: A monero tranzakciók visszafejthetőségének problémájáról A monero tranzakciók visszafejthetőségének problémájáról). Egy szó mint száz, a monero CPU bányászhatósága és anonimitás megörző tulajdonságai miatt gyakran válik a kripto hackerek eszközévé.


Kriptovaluta bányász vírusok


A kriptovaluta bányász vírusok az áldozat eszközeit (számítógép, telefon, tablet, stb.) megfertőzvén előzetes engedély beszerzése nélkül kezd el azon kriptovalutát bányászni és a bányászatért járó jutalmat a telepítő hacker által kezelt digitális számlára küldi. Az ilyen jelelgű malware-ek életciklusa általában 3 szakaszból áll. Először elkészítik a szkripteket, utána bejuttatják a szkriptet a gazda számítógépbe és végül futtatják azt. Az elkészítés és a futtatás minden esetben hasonló folyamatot takar, a befecskendezés módja azonban eltérhet. Van hogy weboldalakon keresztül jut be a kriptobányász szoftver az áldozat gépébe, de van olyan is hogy a malware-t más egyéb alkalmazás forráskódjába csempészik be. Ennek alapján tehát két kategóriát lehet kialakítani, az egyik a böngészőbe épülő bányász vírusok kategóriája a másik pedig a gazdagépen közvetlenül futtatott vírusok kategóriája. Először nézzük az első kategóriát.


1. Böngészőbe épülő kriptovírusok


A JavaScript és a WebAssembly jellegű webes technológiájának fejlődésének köszönhetően megjelentek olyan interaktív webes tartalmak, amelyek hozzáférést kaphatnak a hoszt számítógép erőforrásaihoz (mondjuk processzor). A böngészőbe épülő kriptovírusok ezen webes megoldásokat használják ki és kriptovalutát bányásznak az áldozat számítógépén miközben az az internetet böngészi.


A folyamat nagy vonalakban a következő módon zajlik. A készre gyártott bányász szkriptet egy beregisztrált felhasználó megkapja egy fejlesztő platformtól, amely a kriptovaluták bányászatának feladatát szétosztja felhasználói között, hogy majd később egy pool-hoz csatlakozva visszaossza a kibányászott jutalmakat. A felhasználó megkapja a hitelesítéshez szükséges adatokat és a rosszindulatú szkriptet belecseni weboldalának HTML kódjába.


A támadás során az áldozatok megnyitják saját eszközeik segítségével a weboldalt. A böngésző megnyitja a weboldalt, betölti a rosszindulatú szkriptet és elkezd kriptovalutát bányászni a gépen. Amint a szkript elindításra került az kap egy bányászati feladatot a szkript megalkotójától. A fejlesztő ekkor küld egy kérést a pool felé, amely kiosztja neki a feladatot, az viszont ahelyett hogy maga elvégezné a munkát, elküldi azt a megfertőzött gép felé és az elkezdi a kriptovaluta bányászatot. Amíg a szkript fut és a fejlesztő hálózatba van csatlakozva a szkript nem szakítja meg tevékenységét és bizonyos időközönként visszaadja a kiszámolt hash értékeket a fejlesztőnek. Az pedig összegyűjti a megfertőzött számítógépektől jövő eredményeket és beküldi azokat a pool-nak. A szkript tulajdonosa a fejlesztőtől kap ezek után díjazást, miután az levette eljárási díját. Ebben a rendszerben jól jár a szkript fejlesztője is és a weboldal kódját machináló hacker is, az áldozat viszont semmilyen díjazásban nem részesül.


Közvetlenül futtatott kriptovírusok


A közvetlenül az áldozat gépén futtatott malware-ek a számítógépek erőforrásait merítik ki olyan módon, hogy közben nem fedik fel működésüket. Ellentétben az előzőekben ismertetett típussal, a közvetlenül futtatott malware-ek nem webes szkriptek segítségével jutnak be a célszámítógépbe, hanem azokat fel kell telepíteni a gépekre. Ebből következően azokat valamilyen harmadik féltől származó szoftverbe építik be vagy valamilyen szoftveres vagy hardweres sebezhetőséget használnak ki az áldozat rendszerén. (uTorrent update smuggles shady cryptocurrency miner into your computer) Továbbá van, hogy e-mailek vagy más egyéb technikák használatával indítják el a titokban kriptovalutát bányászó szoftvert.


A rosszindulatú kriptovírus lefejlesztése után azt valamilyen egyéb más szoftver forráskódjába csempészik be. A megfertőzött alkalmazást ezután megosztják valamilyen fájlmegosztó szolgáltatás segítségével. Ez lehet Bittorrent vagy valamilyen fájl cloud is. A gyanútlan felhasználó ezek után letölti az alkalmazást és azt telepíti gépére. Az indítás során az alkalmazás titkon csatlakozik egy pool-hoz és a támadó pénztárcájának címére elkezdi bányászni a kriptovalutát. A sikeres bányászat során a kiszámolt hash értékeket közvetlenül visszaküldik a pool-nak és a támadó ezért kriptovalutát kap cserébe, amelyet az áldozattal természetesen nem oszt meg.


Miután a hacker megkapta jutalmát a pool-tól, azt 3 módon hasznosíthatja. A legegyszerűbb opció egy kriptovaluta tőzsdén történő konverzió. Ezzel amerikai dollárt, eurót és más valutát is könnyedén elő tud magának állítani a jogosulatlanul kibányászott kriptopénzből. A második opciót használva vásárolhat valamilyen szolgáltatást a digitális pénzért cserébe, harmadsorban pedig lehetősége van kriptovaluta keverő szolgáltatás segítségével megszüntetni az interneten hagyott nyomait.


Kriptovírus fejlesztők


Sok szolgáltató fejleszt kriptovírust és ezeket nyilvánosan közzé is teszik. A felhasználók kezelése során minden egyes ügyfél kap egy egyedi ID-t és később ehhez rendelik hozzá a hash teljesítményt. A fejlesztők alapvetően nem veszik figyelembe azt hogy egy felhasználó jó vagy rosszindulatú-e. A felhasználóknak azonban csak jó helyre kell másolni a kriptobányász szkriptet és már kész is a kriptovírus. A Coinhive volt az első olyan fejlesztő, amely kriptovaluta bányász szkripteket kezdett szolgáltalni a weboldalak üzemeltetőinek hogy azok így extra jövedelemre tudjanak szert tenni a reklámok mellett. Kezdetben az ötlet tehát egy etikus pénzkereseti lehetőséget foglalt magában, később azonban elterjed hackelési eljárássá vált. Amíg a Coinhive aktívan működött, ők birtokoltál a monero hálózat hash teljesítményének meglehetősen nagy százalékát. A monero piaci ára azonban jelentősen bezuhant és a Coinhive üzemeltetői, az iparág alacsony hozamára hivatkozva 2019 márciusában felfüggesztették tevékenységüket. Ettől függetlenül vannak hasonló vállalkozások. Itt lehet megemlíteni az Authedmine-t, a Browsermine-t, a Coinhave-t, a Coinimp-et, a Coinnebula-t, a Cryptoloot-ot, a DeepMiner-t, a JSECoin-t, a Monerise-t, a Nerohut-ot, a Webmine-t, a WebminerPool-t , és a Webminepool-t. Ezek a szolgáltatók egyébként új funkciókat is megvalósítottak. Ilyen például a felhasználók értesítése illetve a grafikus felületek, amelyek segítségével a bányászati paramétereket lehet állítani.


A blokklánc alapú hálózatok különböző hálózati protokoll megvalósításokon és kriptográfiai hitelesítési metódusokon alapulnak. A kriptovaluta bányászok részesei kell hogy legyenek ezen protokolloknak és a közösségek által felállított szabályokat kell követniük. A PoW alapú kriptovaluták különböző szabályokat írnak elő a blokklánc hálózat számára és mivel a hálózat teljesen publikus az azt megvalósító forráskódot közösségi forráskód megosztó platformokon (pl. Github) kell közzétenni. Ebből következően a rosszindulatú támadók könnyedén meg tudják szerezni a bányászó kódokat és ezeket viszonylag gyorsan át tudják írni hogy azok jól illeszkedjenek a kivitelezendő támadás körülményeihez. A bánya pool-ok pedig számtalan olyan szoftvert szolgáltatnak, amelyet csak le kell tölteni és futtatni kell. A támadók ezen alkalmazásokat is módosíthatják. A nyílt forráskódú xmrig például egy teljesen legitim, gyors monero bányász program. A nyomait viszont több millió végfelhasználói eszközön megtalálták már. Ez pedig egyértelműen kriptovírus behatolásról tanúskodik.


A kriptovírusok bejuttatása


A weboldalak tulajdonosai, akik admin jogosultságokkal rendelkeznek könnyedén be tudják csempészni a weboldalak kódjába a kriptovalutát bányászó vírusokat, szert tevén így extra bevételre az olyan oldalakon, amelyeket amúgy fizetősnek terveztek eredetileg. Ezzel a módszerrel a weboldal tulajdonosa jogosulatlanul tud kriptovaluta bevételre szert tenni. Vannak természetesen olyan weboldalak, amelyek értesítik a felhasználót a kriptovaluta bányászat tényéről, de vannak olyanok is, amelyek nem szólnak egy szót sem és ez a legtöbb országban bűncselekménynek minősített.


Megfertőzött weboldalak


A támadók megfertőzhetnek véletlenszerű weboldalakat is, amelyek nem megfelelően vannak védve. A Coinhive által rendelkezésre bocsátott szkriptek 85%-t állítólag mindössze 10 fejlesztő készítette. Továbbá a weboldalak tulajdonosai semmit sem tudtak a beépült szkriptekről és kriptovaluta bevételre sem tettek szert. Kiderül azonban az is, hogy a támadók általában ugyan azon ID-t használják, így egyszerűbb a lekövetésük. Legtöbbször a távolról futtatható kódok lehetőségét (remote code execution vulnerabilities) használják ki a támadók. Voltak olyan kutatások is, amelyek például az összes indiai kormány által üzemeltetett weboldalba csempészet kriptovírusokra mutattak rá. Kiderült, az összes ap.gov.in domain és a hozzájuk tartozó aldomain-ek is meg voltak fertőzve.


Kriptovírus fertőzött hirdetések


Vannak olyan támadók is, akik JavaScript alapú hirdetésekbe csempésznek kriptobányász vírusokat és ezeket terjesztik el az internetes platformokon. Ezzel a módszerrel a támadók véletlenszerűen érhetik el az áldozatokat, tulajdonképp extra erőfeszítés nélkül és nincs szükség a weboldalak vagy a különböző alkalmazások megfertőzésére. A YouTube és a Google is fertőződött meg már ilyen kriptobányász vírusokkal és az oldalaik valamint szolgáltatásaik kripto hackereknek bányásztak például monerot. Ezen megoldás előnye a sok felhasználóhoz való eljutás is a viszonylag hosszú ideig tartó fertőzés, mert a felhasználók alapvetően bíznak az ilyen jellegű weboldalakban, szolgáltatásokban.


Kártékony böngészőbe épülő modulok


Az internetes böngészőkbe épülő moduloknak is hozzáférést kapnak a gazdagép erőforrásaihoz, így ezek is könnyedén válhatnak kriptovírusok áldozataivá. A különbség itt viszont abban rejlik, hogy a bányászat zajlik mindaddig amíg a felhasználó nyitva tartja a böngészőt és nem függ attól hogy az éppen milyen weboldalt böngész. A Google például már bejelentette, hogy a Chrome böngészőjében tiltani fogja az össze kriptovaluta bányász bővítményt, függetlenül azok jóhiszeműségétől, hiszen ezeket a bővítményeket általában feltörik és kihasználják a kriptovaluta hackerek.


Harmadik féltől származó szoftverek


A támadók gyakran terjesztenek malwareket piacon megjelent és fájlmegosztó rendszerek segítségével rendelkezésre bocsátott szoftverek segítségével. A hackerek képesek a kriptovaluta bányászatot végző kódrészletet belekeverni a forgalomban lévő alkalmazás forráskódjába és azt később a felhasználó tudta nélkül a háttérben futtatják. A támadók általában nagy számításigényű feladatokat végző szoftvereket törnek fel, mert ekkor biztosak lehetnek abban, hogy a gazdagép rendelkezik a megfelelő hardware-el. Ilyenek lehetnek az animációs szoftverek, az erős számítógépes konfigurációt igénylő játékok és a mérnöki szoftverek. Ha ilyen számítógépen futtatják a kriptovaluta bányász vírust, akkor abban is biztosak lehetnek, hogy hozzáférést kapnak a gazdagép számítástechnikai szempontból erős komponeseihez is.


Sok ilyen jellegű kripto hack támadásra volt már példa a történelem során. A nemrégiben hatalmas népszerűségnek örvendő Zoom is meg lett már hackelve és egy gyakorta használt bitcoin bányászt sikerült a forráskódjába csempészni. A futtatható Zoom állományt fájlmegosztó platformokon tették közzé a hackerek is a gyanútlan felhasználók innen töltötték le a fertőzött szoftvert.


Egy másik támadás során a támadók egy népszerű számítógépes játékot használtak fel. A Fortnite kódjába sikerül bitcoin bányászt csempészni és így gazdagodtak tovább a hackerek. A webes böngésző alapú támadások 2017 óta jelentősek, de az ilyen játékok kódjába kevert bányász jellegű támadások már 2013-ban megjelentek.


Kihasznált sebezhetőségek


Gyakran a támadók a hardwarekeben vagy a szoftverekben található sebezhetőségeket használják ki és a bányászó malware-t számos eszközben elhelyezik, majd a saját digitális pénztárcájukra bányásznak kriptovalutát. Nem egy ilyen támadás történt az elmúlt években. A legjelentősebb a MikroTik hálózati eszközeit ért kriptovaluta támadás volt, amelynek során 1.4 millió hálózati csomópont fertőződött meg. Ez a támadás a hardwarekben található hiányosságok miatt tudott megvalósulni. Az RCE (Remote Code Execution) jellegű támadások esetében a legtöbbször a gazdagépen helyeznek el kriptovaluta bányászatára alkalmas szoftvereket.


Pszichológiai manipuláció során települő vírusok


A biztonsági rendszereket könnyedén át lehet törni az emberi tényező kihasználásával amikor valaki vírust szeretne telepíteni az áldozat számítógépére. Ezek régóta kidolgozott módszerek és nem csak kriptobányász szoftvereket telepítenek így hanem a klasszikus malwar-eket is gyakran így juttatják el az áldozat eszközeire.



Letöltéssel települő vírusok


Sok olyen kriptobányász vírus van, amelyet az áldozat úgymond véletlenül telepít a számítógépén. Ilyenek lehetnek az e-mailekben szereplő nem kívánatos állományok vagy linkek is, de a weboldalakon található felugró ablakok is rejthetnek ilyen jellegű veszélyeket. A rosszindulatú linkre kattintván az áldozat tulajdonképp saját maga telepíti fel a kriptobányász szoftvert a saját gépére, csak a program nem neki, hanem a program elkészítőjének fog kriptovalutát bányászni.


Böngészőkben futtatott vírusok


Ezeket a legkönnyebb eljuttatni az áldozat számítógépre, mert a böngészőben való futás nem igényli a nagyobb fájlok átvitelét. Igazándiból, amint az áldozat megnyitja a rosszindulatú weboldalt, a kriptovaluta bányászat meg is indul és addig tart, amíg a felhasználó az adott oldalon marad, a bányászatnak pedig nem marad semmilyen nyoma. Másodsorban pedig, azért olyan népszerűek az ilyen jellegű támadások, mert a szkripteket jól hordozható, készre gyártott formában bocsátják rendelkezésre a fejlesztők és ezeket nagyon könnyű telepíteni. Igaz ugyan az is, hogy a böngészőbe épülő vírusok csak az áldozat számítógépének processzorát képesek kihasználni, így az ASIC, GPU vagy HDD alapú bányászatok itt nem kerülhetnek szóba. Ebből következően a böngészőbe épülő kriptovaluta bányász vírusok általában monero-t vagy egyéb más olyan kriptovalutát bányásznak, amely CPU architektúra segítségével bányászható.


Személyi számítógépek


A személyi számítógépeket általában otthoni felhasználók használják a mindennapi feladataik elvégzésre, de az utóbbi években ezen eszközök számítási teljesítményes is jelentősen megnövekedett, mert egyre több a nehézkes számítás elvégzését igénylő szoftver az általános felhasználói piacon. Ilyenek lehetnek a videójátékok és a videó szerkesztő programok is.


A személyi számítógépeket támadó kripto hackerek célja a sok felhasználó elérése, mert csak egy bizonyos felhasználói szám után beszélhetünk pozitív mérlegű kriptovaluta bányászatról. Emiatt a böngészőbe épülő kriptovaluta vírusok kényelmesebb megoldást adnak és általában ezekkel támadják az egyszerű felhasználók számítógépeit, de gyakran széleskörű kampányok kereteiben is támadnak a kripto hackerek. Egy a Cisco kutatócsoportja által végzett felmérés eredményeiből kiderül, hogy két évig is működtek olyan támadások, amelyek az előbb említett xmrig binárist juttaták el az áldozatok gépébe.


Az xmrig-et bejuttató malware valamilyen szinten gondoskodik tevékenységének elködősítéséről és a malware-t a támadók különböző online fórumokra, illetve a közösségi médiába is kiposztolták, így sikeresen tudták növelni áldozataik számát.


Vállalati szerverek


A nagyobb vállalatok szerverei általában nagyobb mennyiségű adatot tárolnak és szigorúan őrzik őket. A fontos szervezetek és a kormányok is üzemeltetnek ilyen jellegű gépeket. Ezen szerverek fölött teljes mértékben gyakorolják az irányítást és ők gondoskodnak azok biztonságáról is. Ettől függetlenül az ilyen szerverek is lehetnek kripto bányász jellegű támadások áldozatai. A személyi számítógépektől eltérően, ezek a szerverek jóval nagyobb teljesítménnyel rendelkeznek, és sok kapcsolaton keresztül futtatnak számos szolgáltatást. A támadóknak így tehát jóval nagyobb felületen nyílik lehetőségűk támadásokat kivitelezni. Erre akkor nyílik lehetőségűk ha már megoldották a vírusok bejuttatásának problémáját. Ehhez általában valamilyen sebezhetőséget használnak ki, megfertőzött harmadik féltől származó szoftvert telepítenek, vagy valamilyen emberi tényezőt kihasználván juttatják be kriptobányász szoftvereiket.


Cloud szerverek


A kriptovaluta bányász malware-ek cloud szolgáltatások erőforrásait is kihasználhatják. A felhő szolgáltatások kriptovaluta bányászatra történő felhasználása jogosulatlan módon jelentős és egyre súlyosbodó probléma az utóbbi években. A Coinhive leállítása után a támadók új platformok megfertőzésében kezdték törni a fejüket. A kripto hackerek a cloud szerverek sebezhetőségeit használják ki és így juttatnak kriptovaluta bányász szoftvereket a gazdagépbe. Az Amazon Web Service (AWS) jellegű cloud szolgáltatók rendszereit főleg a következő okok miatt támadják a kriptovaluta bányász szoftverek fejlesztői:


1. Szinte korlátlan erőforrás


2. Jól támadható szerver struktúra


3. A szervereken a vírusok jól terjeszthetők


4. Megbízható internet kapcsolat


5. Hosszantartó kriptovaluta bányászatra való lehetőség


A cloud szerverek jogosulatlan kriptovaluta bányászatra való felhasználásról több cikk is megjelent már az interneten:


https://fortune.com/2018/02/20/tesla-hack-amazon-cloud-cryptocurrency-mining/


https://www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/coinminer-ddos-bot-attack-docker-daemon-ports


https://www.bankinfosecurity.com/cryptocurrency-theft-hackers-repurpose-old-tricks-a-10685


https://research.checkpoint.com/2020/the-2020-cyber-security-report/


https://unit42.paloaltonetworks.com/watchdog-cryptojacking/


https://azure.microsoft.com/en-us/blog/detect-largescale-cryptocurrency-mining-attack-against-kubernetes-clusters/


Ezen támadások során a támadók különböző módszerek segítségével juttatták be a kriptobányász szoftvereket a cloud szerverekbe. A Check Point Research 2020-as éves jelentéséből például az derül ki, hogy a kriptovalutát bányászó szoftverkomponens népszerű DDoS botnet-be (például a King-Miner) szerkesztették bele és Linux illetve Windows szervereket támadtak így.


Egy további támadás során a kutatók nyilvános, malware-el fertőzött könyvtárakat találtak. Miután elemezték a támadást, kiderült hogy a fájlok olyan DDoS bot-okat tartalmaztak, amelyek nyitot Docker daemon portokat támadtak és azoka a sikeres behatolás után kriptovalutát bányászó szoftvert injektáltak az áldozatok gépeibe. Egy 2019-ben végzett elemzésből pedig kiderült, hogy WebLogics szervereket támadva használtak ki CVE (Common Vulnerabilities and Exposures) sebezhetőségeket.


A Tesla tulajdonában lévő Amazon és az Azure Kubernetes kliensek is szenvedtek már kriptovaluta bányász jellegű támadásokat pusztán azért mert a szervereiket rosszul konfigurálták.


Keshani Jayasinghe és társainak munkássága felhívja a figyelmet ez ilyen kriptovalutákat bányászó vírusok terjedésére és hangsúlyozzák, a vállalati környezetek sincsenek biztonságban.


IoT rendszerekbe telepített botnet-ek


Az IoT eszközök általában nem rendelkeznek nagy számítások végzésére alkalmas erőforrásokkal és csak egyszerű feladatok elvégzésére alkalmasak. 2025-re azt jósolják, 21.5 milliárd IoT eszköz lesz hálózatba kötve. A támadók gyakran ezen IoT eszközök megtámadására fejlesztenek ki botneteket és DDoS jellegű támadásokat intéznek ezen eszközök ellen, mert azokban viszonylag gyenge CPU és egyéb más hardware található és a biztonsági előírásokat telepítésük során nem veszik figyelembe. A Mirai botnet által intézett támadás során is ilyen DDoS módszert alkalmaztak.


Később az IBM kutatói felfigyeltek arra, hogy a Mirai egy mutánsa már bitcoin-t is bányászott. A tudományos világ számtalanszor felhívta már a figyelmet az IoT eszközök ellen intézhető támadásokra és fejlesztenek IoT eszközökön futtatható olyan algoritmusokat is, amelyek a kriptobányász vírusokat hivatottak detektálni.


Mobil eszközök


Léteznek mobil eszközöket támadó kriptobányász vírusok is. Ezeket általában az alkalmazásokban helyezik el és az alkalmazásokat pedig vagy az App Store-ban, vagy a Google Play áruházában terjesztik. Hasonlóan az egyéb más jellegű támadásokhoz a mobil eszközöket támadó kriptovírusok száma is robbanásszerűen nő. Emiatt mind az Apple mind a Google úgy döntött, letiltja a kriptovalutákat bányászó szoftvereket az eszközeiken, de ettől függetlenül a telefonos miner-eket be lehet szerezni a szürke piacról.


Dashevskyi és társai az Andoridos eszközökön futtatható kriptovaluta bányász szoftverekkel foglalkoztak. A fentiek ellenére a mobil eszközök ritkábban lesznek ilyen jellegű támadások áldozatai, főleg azért mert hardware-eik nem túl erősek és az operációs rendszer kialakítása meglehetősen megköti a fejlesztők kezét. A kriptovalutát bányászó folyamatok melegítik az eszközt, gyorsan lemerítik és az alkalmazások gyakran lefagynak. Ennek következtében a hackerek inkább megpróbálják szűrni az ilyen eszközöket és nem futtatják a bányász szoftvert ha mobil eszközt detektálnak.


Kriptovaluták


Monero. A monero sok szempontból kedvező tulajdonságokkal rendelkezik és emiatt a kripto hacker gyakran választják támadási eszközként. A monero főként azért érdekes ilyen szempontból, mert a RandomX-nek nevezett algoritmust és a CryptoNight hashelési eljárást implementálja és ennek következtében ASIC vagy GPU bányászok segítségével nem bányászható. Vagyis a bányászat hozama nem skálázódik az alátett hardware erősségével ha videokártyáról vagy ASIC bányászról van szó. Ezt a modern processzorok L3 cache-ének kihasználásával érik el. A monero hálózatának kialakítása során a fő cél a decentralizáció volt és ezt sikerült is elérni az egyszerű mezei felhasználók bevonásával.


Mivel például a böngészőbe épülő kriptovaluta bányászok csak és kizárólag a számítógépek processzorához férnek hozzá a monero kiváló választás az olyan valuták helyett, amelyek igényelnék a bonyolult számításokat viszonylag gyorsan elvégző videokártyákat vagy ASIC bányagépeket. Másodsorban pedig a monero kriptográfiai gyűrűs aláírás technológiával működik (ring signatures) és így a támadók el tudják rejteni személyazonosságukat egy esetleges támadás során. Ezen kellemes tulajdonságoknak köszönhetően a böngészőbe épülő bányászok általában monero-t választanak a kibányászandó kriptovalutának.


Az elemzési adatokból kiderül, a Browsermine, a CoinNebula, és a JSEcoin kivételével 11 szkript fejlesztő vállalat vagy közvetlenül a monero-t adja meg mint bányászható kriptovaluta vagy opcionálisan felsorolja a monero-t mint lehetőség. A PublicWWW adathalmazában a minták 91%-a tartalmaz monero-t.


Bitcoin. Az utóbbi években a bitcoin-t hatalmas népszerűség övezi és emiatt a bányászat nehézsége jelentősen megugrott. A nehézség elszállása mögött az ASIC és FPGA bányászok fejlődése áll. A bitcoin bányászati algoritmusa lehetővé teszi az ilyen speciális áramkörök kifejlesztését és ezek teljesen kiszorítják a processzorokat valamint a videokártyákat, hiszen ezen eszközök bányászati hozama bezuhan. Ebből következően a böngészős támadások nem nagyon szeretik a bitcoin-t. És az előbb említett PublicWWW adathalmazában nincs egy olyan szolgáltató sem, aki bitcoin bányászt fejlesztene.


Más a helyzet a gazdagépen közvetlenül települő bányászokkal. Ebben az esetben már van értelme megfertőzni a célgép processzorát vagy erősebb videókártyáját és ezek segítségével akár bitcoin-t is lehet bányászni.


Más egyéb kriptovaluták. A kriptovaluta bányász támadásokkal sok számítógépet meg lehet támadni egyszerre és ezzel a támadóknak lehetőségük nyílik elosztott kriptovaluta bányászatra is. A bitcoin és a monero is PoW (proof-of-work) hitelesítési algoritmust implementál, viszont az újabb valuták már áttértek más jellegű hitelesítési eljárásokra. Ezek az eljárások általában olyanok, amelyek nem túl jól párhuzamosíthatók is nincs túl sok értelme párhuzamos bányászatot végezi a célszámítógépeken. Az új algoritmusok között van a Proof of Stake, a Proof of Spacetime és a Proof of Masternode. Amazon kriptovaluták, amelyek ezen hitelesítési eljárások valamelyikét implementálják nem használhatók fel (jelenleg) bányászati célból intézett támadásokra.


A bányász pool-okon keresztül bányászható valuták azonban jó megoldást adnak a támadóknak. Itt lehet megemlíteni a Bitcoin Cash-t, a Litecoin-t vagy az Ethereum-ot is akár. Érdekes az is, hogy vannak olyan kriptovaluták, amelyek bányászatát a böngészőkben történő kivitelezésre fejlesztik. A jó átláthatóságot szem előtt tartó JSEcoin egy példa lehet ezek közül a coin-ok közül. Ilyen még a BrowsermineCoin, az Uplexa, Sumocoin és az Electroneum.


Detektálás és megelőzés


A hagyományos malware-k esetében statikus és dinamikus módszerek segítségével szokták detektálni a káros programokat. Egyik sem feltétlenül jobb mint a másik.


Statikus módszerek. A statikus módszerek segítségével az alkalmazásokat elindítás nélkül lehet vizsgálni. A statikus analízist futtató eszközök bizonyos kulcsszavakat illetve malware-ekre jellemző aláírásokat és hash értékeket keresnek. A kriptovaluta bányász támadások területén működő bányász blokkoló böngésző bővítmények ilyen módon operálnak. Definiálnak egy domain tartományt, és ha a bővítmény ebben a tartományban hivatkozik valamire akkor blokkolják azt. Mivel azonban a statikus módszerek nagyon rugalmatlanok, könnyű őket átejteni.


Dinamikus módszerek. A dinamikus analízisek során a malware-t ellenőrzött környezetben futtatják és a viselkedési sajátosságait rögzítik, lejegyzik a további elemzések céljából. A vírus analizáló programok automatizált vagy nem teljesen automatizált sandbox jellegű környzetekben kerülnek futtatásra és ezekben figyelik meg viselkedését. A szoftvermérnökök azonban foglalkoznak gépi tanulás alapú detekciós mechanizmusokkal is. Ezek a módszerek különböző adatstruktúrákat, jellegzetességeket és kategorizáló algoritmusokat alkalmaznak. Vannak köztük olyanok, amelyek böngészőben is működnek, amellett hogy futtathatók a gazdagépen is.


Mivel a böngészőbe épülő legtöbb vírus JavaScript kódba van beágyazva, jó módszer lehet ha valaki kikapcsolja a JavaScrip futtatás engedélyezését, de ezzel jelentősen lebutítja böngészőjét is ne csodálkozzon ha bizonyos funkciók így elérhetetlenné válnak. Vannak továbbá klasszikus vírusirtók, amelyek képesek detektálni a kriptovaluta bányász malware-eket, de ezek általában zárt forráskódúak és a megvalósítás pontos részletei nem ismertek. Ezeket a következő linken éred el ha érdekelnek:


https://www.malwarebytes.com/cryptojacking


https://www.avast.com/c-protect-yourself-from-cryptojacking


Elrejtőzés


A malware-ek szeretnének a lehető leghosszabb ideig futni az áldozat gépén, hiszen így tudják maximalizálni profitjukat. E célból számos módszert alkalmazhatnak.


Visszafogott processzor használat. A legtöbb kriptovalutát bányászó vírus megpróbálja a lehető legnagyobb teljesítményt kisajtolni a számítógépből és pontosan ezen ok miatt könnyű lehet őket felderíteni. A támadók tehát gyakran szándékosan lekorlátozzák a bányász program által lefoglalt erőforrások mennyiségét és így képesek rejtve maradni, mert az áldozat rendszere nem figyel fel a jogosulatlan kriptovaluta bányászatra. A processzor használat visszafogását, mint módszert gyakran alkalmazzák a weboldalak üzemeltetői is, mert így a felhasználók gördülékenyebben tudják böngészni az oldalt.


Rejtett könyvtárhívások. A különböző könyvtárakból történő kódrészlet hívást gyakran használják a programozók, mert így a programkód jobban olvasható lesz és bizonyos esetekben a kód hatékonyságát is lehet növelni. Ebből következő módon a támadók számára ez egy kiváló módszer lehet. Van lehetőségük arra, hogy a már kiszűrt kulcsszavakat nem tartalmazó új szkripteket készítsenek és ezeket mint könyvtár tegyék elérhetővé. A könyvtárba természetesen beleírják a kriptovalutát bányászó részeket is és ez a rész csak akkor hívódik, amikor a tényleges működést végző program ideér a végrehajtásban.


Kódolás. A malware forráskódját lehet kódolni. Ennek következtében az teljesen olvashatatlanná válik és a tiltólistás módszerek nem működnek ellenük. Ezen módszer használata során a szöveges fájlokat más formátumba konvertálják, ilyen lehet a Base64 és a konvertálás után a forráskódot csak a számítógépek tudják értelmezni, emberi szem nem. Az Authedmine és a Cryptoloot állítólag már fejleszt és terjeszt ilyen jellegű kriptobányász szkripteket.


Binárisok elrejtése. A bináris állományok kódolását a kriptovaluta bányász vírusokat terjesztő hackerek gyakran elvégzik. Ezen módszer segítségével az esetlegesen megjelenő szöveges részei a programkódnak teljesen értelmezhetetlenné válnak és a sandbox valamint egyéb más dinamikus malware detektáló rendszerek nem tudnak mit kezdeni az ilyen vírusokkal. A különbség abban rejlik, hogy a kódolást általában a böngésző alapú vírusok alkalmazzák, míg a binárisok elrejtését inkább a hoszt gépen közvetlenül futtatott vírusok esetében találjuk. A binárisokat általában az ismert UPX csomagolóval rejtik el.


Kriptovaluta bányász támadások tanulmányozása


A kriptovaluta bányász vírusok detektálása során általában dinamikus módszereket használnak. Főként azért, mert a kriptovaluta bányász programok nagyon jellegzetes utasításokat adnak a számítógépnek. A bányászok általában bizonyos kriptográfiai könyvtárakat hívnak és általában valamilyen változó értékét folyamatosan növelik (nonce) és a kiszámolt eredményeket valamilyen szolgáltatásnak küldik be (mondjuk pool) majd új feladatot kapnak attól. Ez a nagyon jellegzetes működés felismerhetővé teszik őket és a dinamikus módszerek meglehetősen jól működnek amikor detektálni szeretnénk őket. Viszonylag kevés olyan kutatást találunk, amely statikus tulajdonságokat, mint mondjuk az opcode-ok, vagy WebAssembly utasításokat próbálta detektálni.


A WebAssembly egy olyan alacsony szintű utasításkészlet, amely szinte gépi kód szinten képes futni és stack alapú virtuális gépekre támaszkodva jelentős futási teljesítményt ad. Az alacsony szintű megvalósítási model a WebAssembly kódokból nagy teljesítményt sajtol ki és így a kriptovaluta bányász szkriptek, megspórolván a kód végrehajtásból származó késleltetést gyorsan tudnak futni, ergó sokat lehet velük keresni. A ma használt legtöbb böngésző támogatja a WebAssembly-t.


Az előbb említett opcode-ok, gépi nyelv szintű utasítások, amelyeket rendszerhívásokkal lehet elérni. IDA Pro segítségével ki lehet nyerni ezen opcode-okat és statikus analízis alá lehet így vetni a kérdéses programot. Amikor kriptovaluta bányász kódokat elemeznek, általában a bányász szkript és az kernel közötti hívásokra koncentrálnak. A Random Forest osztályozó segítségével 95%-os pontosságot el lehet érni így.


A dinamikus módszerek általában a következő mintákat figyelik:


CPU események. A CPU eseményeket gyakran figyelik a kriptovaluta bányász vírusok detektálásának során, mert a böngészőbe épülő kriptovaluta bányász szkripteknek hozzá kell férniük a processzor utasításaihoz, függetlenül attól hogy épp milyen hardware van alattuk. Ha például egy böngésző bővítmény túl gyakran próbál meg hozzáférni valamiféle kriptográfiai könyvtárhoz, akkor azt le lehet fülelni az általa generált CPU események figyelésével. Igen ám, de attól függetlenül, hogy a processzor kihasználtsága nagy jellegzetes mintázatot mutat a kriptovaluta bányászat során, mivel az online játékok, kaszinók és egyéb szerencsejátékok is használhatnak ilyen jellegű kriptográfiai könyvtárakat, a módszer gyakran akkor is jelezhet, amikor nem lenne szabad. A félredetektálások csökkentése céljából sok módszer egyszerre több jellegzetességet analizál.


Memória tevékenységek. A memóriához való hozzáférést is szokás elemezni a dinamikus kriptobányász detektálás során, hiszen ebből is jól lehet következtetni a számítógépen esetlegesen történő kriptovaluta bányászatra.


Hálózati csomagok. A kriptovaluta bányászat során, általában ha a program valamilyen pool-on keresztül bányászik, a kiszámolt hash értékeket vissza kell küldeni a pool-nak. Ebből fakadóan roppant mennyiségű hálózati csomagot állít elő egy ilyen kriptobányász program és ezeket a csomagokat lehet szűrni. A CPU események és a memória hozzáférés elemzése mellett a hálózati forgalom analízise szintén egy fontos módszer lehet a dinamikus detektálás során. Az analízis kivitelezésekor lehetőség van szűrni a csomagok beérkezési idejét és azok méretét is.


JavaScript fordítási és végrehajtási idő. Tudományos kutatásokból kiderül, hogy a kriptobányász szoftverek erőteljesen befolyásolják a JavaScript motor fordítási és végrehajtási idejét. Azonban nem szabad elfelejteni, hogy az internetes játékok és a böngészőkben futó komolyabb alkalmazások is hasonló hatással vannak a JavaScript motorra és emiatt a módszer adhat hibás pozitív riasztásokat. Ezek csökkentése céljából lehet még használni a CPU terhelést, a szemét gyűjtő (garbage collector) és még például az iframe által okozott terhelésből számított mutatókat is.


A szemét gyűjtő a JavaScript programozási nyelv egy olyan funkciója, amely optimalizálni képes a memória használatot és törli a használat alatt már nem lévő változókat, valamint segít a memória túlcsordulás megakadályozásában. A bányászat során a CPU és a memória folyamatosan kommunikál egymással és a processzor folyamatosan küldi a kiszámolt értékeket a memóriába. Miután a kiszámolt hash értékek elküldésre kerültek, azokra többé nincs szükség és a szemét gyűjtő ezeket folyamatosan törli. Ebből következik, hogy a kriptovaluta bányászat nem szokványos terhelést ró a JavaScript motor szemét gyűjtőére és így azt fel lehet használni dinamikus detektálási mechanizmusok kifejlesztésére.


Az előbb említett iframe-et pedig a HTML forrásokba való egyéb programok, függvények beágyazására használják. A bányász szkripteket általában ezen technológia segítségével próbálják belecsempészni a HTML kódokba és ebből következően az iframe források betöltése során nem szokványos terhelést lehet tapasztalni. Viszont ezt a jellegzetességet nem lehet magában használni, mert sok más olyan tartalmat is be kell tölteni iframe-ek segítségével, amely hasonló mintázatot alakít ki az erőforrás leterheltségben.


Hardware teljesítmény számlálók (HPC). A hardware teljesítmény számlálókat modern számítógépeken használják CPU események rögzítésére. Ilyenek lehetnek a processzor ciklusok vagy a cache mellélövések (cache miss). Ezen regiszterek értéke, a CPU órajel ciklusaival és a végrehajtott utasítások részleteivel kiegészítve egyedi információkat szolgáltatnak az éppen futó alkalmazásról. Számtalan kutatás folyik azzal kapcsolatban, hogy hogyan lehet a hardware kihasználtságát, a futó programokat és a HPC regiszterek értékeit összekapcsolni.


Rendszerhívások. Az operációs rendszer kernele és az éppen futó alkalmazások rendszerhívások segítségével kommunikálnak. A rendszerhívások 0 szintű jogosultságokkal futnak és az operációs rendszer kernelétől kérnek szolgáltatásokat. Bizonyos módszerek a rendszerhívások dinamikus analízisán alapulnak és a Cuckoo Sandbox segítségével rögzítik ezen hívásokat, majd a rögzített adatokon deep learning modelleket tanítanak be. Ezekkel akár 99 százalékos pontosságot is el lehet érni.


Csoportosítás és teljesítmény


A begyűjtött mintákat általában gépi tanulási algoritmusokkal dolgozzák fel. Ezek között van a Support Vector Machine, a véletlenszerű erdő (Random Forest), a különböző neurális hálók (Neural Networks) és a döntési fák (Decision Tree). Lehetőség van továbbá inkrementális tanulási algoritmusokat is futtatni a begyűjtött adatokon és vannak olyan módszerek, amelyek már majdnem 100 százalékos pontossággal működnek.


Nyílt forráskódú megvalósítások


Bizonyos szoftverek forráskódja megtalálható a publikus adatbázisokban is. A legtöbb kriptovírus detektáló program nem alkalmas a behatolás megelőzésére vagy a vírusok leállítására, de létezik néhány kivétel.


A dinamikus jellemzők analízisével, hasonlóan mint egy klasszikus vírust, általában jól lehet detektálni a kriptobányász vírusokat, azonban a megelőzésre alkalmazott módszerek némileg eltérnek. Vannak megoldások, amelyek csak jeleznek a felhasználónak, vannak olyanok, amelyek elaltatják a bányász folyamatot és bizonyos megoldások le is állítják a kriptovaluta bányász vírusokat.


A közvetlenül futtatott kriptobányász vírusokat elég jól tudják detektálni a kereskedelmi forgalomban lévő vírusirtók, a böngészőbe épülő kripto malware-eket pedig nyílt forráskódú böngészős segédprogramokkal (pl. NoCoin, MinerBlock) lehet blokkolni.


Ezek a nyílt forráskódú böngésző alapú blokkoló megoldások tiltólistára teszik azokat a domaineket, ahonnan kriptovaluta bányász vírusokat detektálnak és a listát megpróbálják frissen tartani. Amint a felhasználó egy ilyen domainen tárolt weboldalt próbál meglátogatni, a program figyelmeztetést küld. Ez azonban nem a leghatékonyabb megoldás, mert a támadók el tudják rejteni a valós domainjüket például a domain fluxing technikáját alkalmazva. Sajnos, attól függetlenül hogy léteznek viszonylag hatékony feketelistázó megoldások, sok kriptobányász vírust nem tudnak még így sem detektálni.


A kriptobányász vírusok fejlődése


A 2020-as kutatások eredményeiből azt a tapasztalatot szűrhetjük le, hogy a mai vírusok inkább az erősebb szervereket támadják és nem annyira foglalkoznak a böngészőbe épülő megoldásokkal és nem támadják annyira a mezei számítógépeket. Így próbálnak meg több profitra szert tenni rövidebb idő alatt.


Ezek a támadások inkább vállalati infrastruktúrákat támadnak és van hogy rosszul bekonfigurált IoT eszközökön vagy Docker motorokon élősködnek. Ezen esetek során nem csak a Coinhive által szolgáltatott szkripteket használták, hanem az xmrig forrását is átírták és azzal bányásztak monero-t ezeken az eszközökön.


Úgy néz ki tehát a támadások inkább a vállalati szférát érik és talán kezdenek visszaszorulni a böngészőbe épülő vírusok által elkövetett támadások, de ennek ellenére nem sokan foglalkoznak még az új trendekkel a kriptobányász vírusok világában.


A monero messze a leggyakrabban bányászott kriptovaluta a támadások során. Bitcoin vagy egyéb más kriptovalutát szinte soha nem bányásznak a támadók. Ez főleg annak köszönhető, hogy CPU segítségével lehet bányászni, valamint hogy nagyfokú anonimitást biztosít. Ha bitcoin-t bányásznának, azt még akár hosszú idő múlva is fel lehetne deríteni.



Szerző: LB



Figyelem: A bejegyzésben található információk tartalmazhatnak hibát. A szerző az abból eredő károkért nem vállal felelősséget!



Hozzászólások (0)


További hírek