Coinhive推出網頁挖礦平臺引發一波網頁挖礦風潮,許多網站業者在未告知使用者的情況下,偷使用者電腦處理器的運算能力幫忙挖門羅幣,這種手法也引發黑色產業覬覦,隨著網頁挖礦程式增加,也可能引發新一波挖礦潮。

在2017年虛擬貨幣的價值暴增,不論是一個比特幣創下可兌換1萬5千美元的天價,或者是門羅幣價值從原本13美元暴增到400美元,對於駭客而言,透過挖礦程式累積財富便成為駭客另類致富之道。

資安公司賽門鐵克就預估,除了虛擬貨幣價值暴增外,更重要的是,可以用來暗中竊取使用者電腦運算資源的惡意挖礦程式數量,也從原先2016年的26款增加到2017年的35款,預計2018年這些惡意挖礦程式的數量也會大幅增加,這些都會造成使用者電腦運算資源成為駭客覬覦、可以暗中竊取得算力資源。

Coinhive推出網頁挖礦平臺,網站業者偷使用者算力當礦工

基於瀏覽器的挖礦程式Coinhive在2017年9月14日正式推出,透過將挖礦功能打包成JavaScript腳本程式,網站業者只要登入這個挖礦平臺Coinhive,並且在其網站上嵌入這個具有挖礦功能的腳本程式,所有瀏覽這個網站的使用者就成為網站業者的免費礦工,電腦處理器的運算資源都被用來開採門羅幣,而Coinhive則會依照每一個網站所貢獻的運算資源分配開採到的門羅幣。

根據Coinhive的統計,這個挖礦平臺上線第一天,每秒只有10萬次的挖礦雜湊運算(Hash)的API呼叫,但到了上線第8天,Coinhive平臺累積的挖礦雜湊運算呼叫次數,則暴增到每秒1,350萬次,更成為全球第六大虛擬貨幣門羅幣整體區塊雜湊值計算量的5%,同時連上Coinhive的WebSocket連線數更高達220萬個。如果預設每臺電腦用3個WebSocket連線數估計,至少有73萬臺電腦成為免費礦工。

根據資安公司趨勢科技的統計,全球每天至少增加300個藏有Coinhive挖礦程式的網站,甚至,超過95%以上的網站都沒有取得使用者的同意,偷偷利用使用者的運算資源挖礦。

例如,全球最大BT種子網站海盜灣在其首頁中,暗中嵌入Coinhive的挖礦程式且沒有告知使用者,這造成許多使用者在瀏覽海盜灣首頁時,處理器的使用率都會超過80%,直到分析網頁程式後才發現,原來海盜灣偷偷在首頁嵌入挖礦程式且沒有告知使用者,這也引發使用者的不滿與抱怨。

儘管Coinhive建議採用該公司挖礦服務的網站業者,應明白向使用者揭露挖礦意圖,但賽門鐵克觀察到,從海盜灣、Chrome擴充程式SafeBrowse、Android程式和其他數百個嵌入挖礦腳本程式的網站,都沒有告知使用者該網站其實有嵌入挖礦程式。

因為這種偷網站瀏覽者的電腦處理器運算能力挖礦的情況,從Coinhive推出挖礦平臺後,情況越來越普遍,甚至也成為黑色產業賺錢的工具之一,提供WordPress網站安全外掛程式的 Wordfence也提出警告,駭客正透過暴力破解法,以每小時攻擊19萬個WordPress網站的速度,企圖於被駭網站上嵌入門羅幣的採礦程式。

不只如此,像是趨勢科技日前也發現新的挖礦手法,駭客使用Digmine惡意挖礦程式,透過桌面版Facebook Messenger散布,它會傳送一個偽造的影片檔案,其實是個可執行的腳本程式,進駐使用者電腦之後,它會重新啟動Chrome,執行惡意的瀏覽器擴充程式,再自駭客所掌控的C&C伺服器上下載XMRig等其它元件。而XMRig為一專門用來開採門羅幣(Monero)的開源碼工具,可利用使用者的處理器資源來挖礦。

5億人的手機電腦被當成免費礦工,各方業者想方法封鎖

為了了解這種偷使用者算力當免費礦工情況到底有多嚴重,廣告過濾業者AdGuard也在2017年10月發表一份全球挖礦綁架的災情統計,掃描Alexa流量排名全球前10萬個網站,發現其中有220個網站嵌入至少一種以上的惡意挖礦的JavaScript腳本程式,除了Coinhive之外,還包括JSEcoin、CryptoLoot以及MineMyTraffic等挖礦腳本程式。

而這220個網站每個月有高達5億人次的瀏覽,也就是說,這5億人次的手機、電腦等,在知情或多數不知情的情況下,一度成為這些網站業者的免費礦工,而這些網站主要是電視電影的影音類網站(17.73%)和檔案分享類網站(17.73%),成人網站(10%),也有不到一成的網站是新聞網站(7.7%)。

而這些挖礦網站的來源國,將近2成(18.7%)是美國網站,其次是印度網站(13.4%)、俄羅斯網站(12.4%)和巴西網站(8.1%);臺灣的挖礦網站占全體挖礦網站的1.8%,比例不高,但全臺至少有4個網站內藏有挖礦程式,多以內容農場或成人網站為主。

為了遏止這種惡意挖礦的行為,企業用戶除了封鎖連回Coinhive的連線外,像是廣告過濾業者AdBlock Plus、AdGuard可以直接阻擋Coinhive的挖礦腳本程式,Chrome瀏覽器也有幾款專門封鎖挖礦程式的外掛,例如:AntiMiner、No Coin和MonerBlock等;而另外一個瀏覽器業者Opera更在最新版本中,阻擋內嵌加密貨幣採礦程式的網頁,廢止了加密貨幣挖礦的腳本程式,以防止採礦者侵入使用者裝置並利用系統資源。

不過,賽門鐵克也提出警告,雖然一般的廣告封鎖程式都已經可以防堵目前知名的Coinhive挖礦腳本程式,但因為虛擬貨幣價值攀升,成為網站業者另類取代網路廣告的收入來源,加上挖礦程式從2016年只有26款Android App暗藏挖礦程式,但到2017年已經增加到35款,成長比例超過3成,預計2018年這類挖礦程式數量會大幅增加,就可能會出現新一波的惡意挖礦潮。


Advertisement

更多 iThome相關內容