Kriptojackingo kenkėjiška programa ir toliau plinta internete, daugiausia dėl „Coinhive“ populiarumo. Nuo „Coinhive“ paleidimo 2017 m. Rugsėjo mėn. Atsirado daugybė kriptojackingo klonų.
Įrankis, kurį pasirinkau jiems rasti, yra „PublicWWW“. Tai yra paieškos sistema, indeksuojanti visą svetainių šaltinio kodą. Anksčiau aš diskutuodamas apie kenkėjiškas programas „Coinhive“ pasiūliau palyginti jų duomenų rinkinį su kitais teikėjais.
Šiame įraše aš išsamiai aprašau, kaip „PublicWWW“ rasti svetaines, kuriose yra „Coinhive“, „Crypto-Loot“, „CoinImp“ ir „deepMiner“.
Peršokime ir pažiūrėkime, kiek galime rasti svetainių, kuriose yra kenkėjiškų kriptografinių programų!
Coinhive
Prieš apžvelgdami kai kuriuos išjungimus, pažiūrėkime į sinonimą „cryptojacking“ pavadinimą „Coinhive“. Surasti šią kenkėjišką programą yra gana lengva, o norint ją surasti galima naudoti įvairias užklausas. Originali „Coinhive JavaScript“ biblioteka, naudojama kriptografijoje, yra „coinhive.min.js“, ir mes galime pradėti paprasčiausiai to ieškoti. Svarbu ieškoti viso vardo kabutėse, kad užtikrintumėte tikslią atitiktį „PublicWWW“.
Naudodami šią užklausą, randame 34 474 svetaines. Nors tai gali atrodyti stulbinantis skaičius, tai tik nedidelis padidėjimas, nes rašiau apie 30 000 svetainių, rastų dar 2017 m. Lapkričio mėn.
Nors šis svetainių sąrašas yra puikus svetainių su „Coinhive“ kenkėjiškomis programomis apžvalgai, galime dar giliau į „PublicWWW“ duomenų rinkinį išgauti kiekvienoje svetainėje naudojamą „Coinhive“ svetainės raktą. Tai galima padaryti naudojant regex, norint išgauti svetainės raktą kaip fragmentą: „coinhive.min.js“ snipexp: | CoinHive.Anonymous (‘? (W {32})’ | i
Ištraukę „Coinhive“ svetainės raktą, galime eksportuoti rezultatus ir susieti, kurios svetainės yra kriptografinės kampanijos dalis. Ši nedidelio skaičiaus „Coinhive“ svetainės raktų sąsaja su šimtais ir net tūkstančiais svetainių buvo užfiksuota mano ankstesniame įraše.
Neseniai radau didelę šifravimo kampaniją, nukreiptą į 5 451 „WordPress“ svetainę. Kiekvienu atveju „Java“ su „Coinhive“ buvo paslėpta apgaulingai.

Nors „PublicWWW“ negali ieškoti pačiame nenuobodintame „JavaScript“, galime rasti būdą, kaip jį apeiti.
Norėdami ieškoti paveiktų svetainių, atlikite šią užklausą, kurią man maloniai sukūrė VriesHd, buvo naudojamas:
„[“(k” “x43x72x79x70x74x6fx6ex69x67x68x74x57x41x53x4dx57x72x61x70x70x65x72” snipexp:|(var _0x[0-z]{4} =) |
Ši užklausa ieško „JavaScript“ funkcijos pavadinimo, naudojamo užblokuotam kodui, ir tada sureguliuoja, kad išgautų to vardo fragmentą. Tai naudinga norint susieti funkcijos pavadinimą, pvz., „Var _0xb70e“ su naudojamu „Coinhive“ svetainės raktu. Buvo nustatyta, kad šioje kriptografijos kampanijoje buvo naudojami šeši unikalūs raktai:
„Coinhive“ svetainės raktas (funkcijos pavadinimas)
DhGEVUgOoquJP68XByYLFs0nRVV4gq4J (0xb70e)
bbgnHTSmMLKUMaQzNa3Yfoul34A3cACd (0xbcba, 0xe2f6)
hg9mNsA2DPkqe1F9yCUyWXggnDyrPqVW (0x1b00)
T6Oy0x11TMdeZRjy684Xow4GNBpb07SK (0xf80b)
OQoqVYH65ER2Eg2xcmoVtv4qrcHP2Z7G (0xe4d0,0xb765,0xcc28)
VW8fWIsg9hjn47qBdmb0jImf7pDHmU28 (0x8f35)
Kai kuriais atvejais tas pats „Coinhive“ svetainės raktas buvo susietas su keliomis aukščiau pateiktomis funkcijomis.
Kripto-grobis
„Crypto-Loot“ nuo pat savo veiklos pradžios nuolat išliko viena populiariausių „Coinhive“ alternatyvų. Panašiai kaip „Coinhive“, „Crypto-Loot“ nereikalauja jokios vartotojo sąveikos ir gali paleisti klastą fone.
Tai yra svarbi „Crypto-Loot“ rinkodaros puslapio funkcija, be „DDoS“ apsaugos, kurią teikia „Cloudflare“.
„Crypto-Loot“ naudoja du domenų pavadinimus savo kriptografijos operacijoms atlikti:
crypto-loot.com
cryptoloot.pro
Šiems domenams galima pateikti užklausą „PublicWWW“, kad rastumėte paveiktas svetaines, ir panašiai kaip „Coinhive“, mes galime naudoti regex, kad išgautume kiekviename naudojamą svetainės raktą naudodami šią užklausą: „CryptoLoot.Anonymous“ snipexp: | CryptoLoot.Anonymous (‘? w {44}) ‘| i
Griežtai ieškodami dviejų naudojamų domenų, iš viso randame 2057 svetaines, kuriose yra „Crypto-Loot“.
MonetaImp
„CoinImp“ yra gana naujas žaidėjas kriptografiniame žaidime, tačiau pastaruoju metu pastebimas didelis svetainių, kuriose jis buvo pastebėtas, skaičiaus padidėjimas.
„CoinImp“ savo kriptografijos operacijoms naudoja keturis domenų vardus:
coinimp.com
www.hashing.win
www.freecontent.bid
webassembly.stream
Įdomu tai, kad anksčiau „CoinImp“ dokumentuose buvusi nuoroda į „www.hashing.win“ buvo tyliai pašalinta kažkur po 2017-12-20 ir kaip iliustracinis pavyzdys pakeista „www.freecontent.bid“.

Taip sutapo, kad dažniausiai naudojamą „CoinImp“ domeno vardą „www.hashing.win“ „PublicWWW“ rado didžiulėse 3745 svetainėse.
Kadangi tai buvo stebėtinas skaičius, aš rankiniu būdu peržiūrėjau daugybę svetainių ir radau, kad „CoinImp“ jau buvo pašalinta arba buvo įdėta kitos formos kriptojacking kenkėjiška programa, pvz., „Coinhive“. Tai man leidžia manyti, kad kriptografijos kampanijos vykdytojas naudojo trumpalaikį metodą įdėdamas „CoinImp“ kodą.
Apskaičiuojant keturis naudojamus „CoinImp“ domenų vardus, iš viso randame 4 119 svetainių.
Minr
2017 m. Gruodžio mėn. Pradžioje atradau naują kenkėjiškų šifravimo būdą, vadinamą Minr. Tai, kas išskyrė iš kitų, yra tai, kad ji suteikė įmontuotą apšvietimą savo vartotojams. Tačiau to nereikėjo ir daugelis mano rastų svetainių nesivargino ja naudotis.

Be to, Minro naudojami domenų vardai atrodė nekenksmingai. Domenų vardai taip pat dažnai keitėsi, todėl bet kada pasidalijo atnaujinimu tai greitai paseno.
Prieš savaitę „Minr“ naudoti domenai (parodyta aukščiau) vėl pasikeitė.
Nuo šio rašymo aktyvūs domenai, kuriuos Minras naudoja kriptografijos operacijose, yra šie:
cnt.statistic.date
cdn.static-cnt.bid
ad.g-content.bid
cdn.jquery-uim.download
Apskaičiuojant keturis šiandien naudojamus „Minr“ domenų vardus, iš viso randame 692 svetaines.
„deepMiner“
Skirtingai nuo kitų kriptografinio siuntimo paslaugų teikėjų, „deepMiner“ yra pats prižiūrimas „JavaScript“. Tai reiškia, kad kodas, naudojamas kriptovaliutai išgauti, nėra trečiųjų šalių paslaugų teikėjo priglobtas, o vietoj jo dedamas tiesiai į svetainę ar domeną, kurį valdo kriptografijos kampanijos operatorius. „DeepMiner“ šaltinio kodo saugyklą galite rasti „GitHub“.
Nors tai gali būti kliūtis ieškant svetainių, kuriose yra „deepMiner“, vis tiek yra būdas ją rasti. „DeepMiner“ radimo paslaptis yra funkcijos, reikalingos jai paleisti, nustatymas, parodytas toliau pateiktame fragmente:
Dabar, kai turime šią informaciją, galime tiesiog ieškoti „PublicWWW“ pagal „deepMiner.Anonymous“, kad rastumėte paveiktas svetaines.
Tai leidžia mums rasti 2160 svetainių, naudojančių „deepMiner“ kriptografijos tikslais.
Viena svetainė, kurią radau naudodama „deepMiner“, buvo netikra „Chrome“ naujinių svetainė, kuri patarė vartotojams neuždaryti puslapio. Tuo tarpu kriptojackingas vyko fone, sunaudojant 100% mano bandomosios mašinos procesoriaus.

Statistikos palyginimas
„Coinhive“ išlieka kenkėjiškų programų šifravimo rinkos lyderiu. Tačiau daugelis jo įkvėptų klonų rodo eksponentinius augimo tempus.
Keturi aptarti „Coinhive“ klonai buvo rasti iš viso 9 028 svetainėse. „CoinImp“ užėmė didžiausią rinkos dalį – apytiksliai 45%, o „Minr“ – mažiausia – beveik 8%. „Crypto-Loot“ ir „deepMiner“ pasidalijo likusiomis porcijomis po beveik 23% gabalo.
Tačiau, palyginti su pačiu „Coinhive“, kiti kriptojacking kenkėjiškų programų teikėjai užima tik nedidelę 18% rinkos dalį. Tikėjausi, kad „Coinhive“ artimiausioje ateityje išliks pirmoje vietoje.
Baigiamasis žodis
„Coinhive“ akivaizdžiai yra rinkos lyderis, kalbant apie kenkėjiškų programų kriptografiją, nes jų buvo rasta beveik 40 000 svetainių.
„Chrome“ vartotojams aš rekomenduoju naudoti specialų plėtinį „minerBlock“, kad užblokuotumėte kriptojackingo kenkėjišką programą. Taip pat yra „Firefox“ šio plėtinio versija.
Šiame įraše aptarta kriptožaidimo kenkėjiška programa yra tik dalis to, kas šiuo metu randama laukinėje gamtoje. Dažnai atrandami nauji variantai, kuriais dažnai dalinuosi „Twitter“. Taip pat galite naršyti CoinBlockerLists, kuriuos nuolat atnaujina „ZeroDot1“, kur galite rasti šimtus domenų, susietų su kriptuojančiomis kenkėjiškomis programomis.
Šiame įraše bendrinama statistika buvo sugeneruota iš „PublicWWW“ 2018-02-07 pateiktų duomenų. Jie gali keistis, nes „PublicWWW“ reguliariai atnaujina savo indeksą.