비트코인과 같은 암호화폐 모네로, 에테 리움, 라이트코인, 테오 에있다 가득 찬 그네. 그리고 그들은 기하급수적으로 증가했습니다 cryptocurrency mining (또는 암호화는채광) 활동. 이전에, 암호화는채광 강력하고 전용적인 채굴 하드웨어를 사용하거나 분산 컴퓨팅을 활용하여 수행되었습니다. 전에, 전체 프로세스가 필요합니다 a 많은 계산. 그러나, 채굴 추세에 눈에 띄는 변화가 있었습니다.. 이제 웹 b조정 선수들이 참여하고 있습니다 암호화는채광 브라우저 마이닝에 사용되는 컴퓨팅 파워가 증가함에 따라 활동이 증가하고 있습니다. 하드웨어 마이닝에 필요한 것보다 훨씬 적습니다.. 사용 웹 암호화폐를 채굴하는 브라우저를 다음과 같이 부릅니다. 브라우저 내 Cryptojacking.
Quick Heal Security Labs는 Coinhive 브라우저 마이닝 서비스를 통해 손상된 몇몇 인기 웹사이트를 발견했습니다.
Coinhive?
Coinhive는 'Monero' 블록체인을 위한 Javascript 마이너를 제공하는 브라우저 마이닝 서비스입니다. 웹사이트에 쉽게 삽입할 수 있습니다. 사용자가 Coinhive가 주입된 웹사이트에 접속하면, 채굴 서비스가 웹 브라우저에서 실행되어 Monero XMR을 채굴하기 시작합니다..
많은 기업들이 이 브라우저 채굴 서비스를 이용하는 것으로 추정됩니다. 웹사이트에 자바스크립트 코드를 통합하여 방문자의 CPU 시간과 에너지를 소모하여 XMR(모네로)을 채굴하고 코인하이브(Coinhive)를 획득하는 방식입니다. 코인하이브는 채굴된 가치의 일정 비율을 웹사이트 소유자에게 지급합니다.
우리의 분석
Quick Heal Security Labs에서는 유명 토렌트 검색 엔진인 Pirate Bay의 프록시 서비스 중 하나에 Coinhive 마이너 서비스가 삽입된 것을 발견했습니다. 아래 그림 1은 Pirate Bay 웹페이지에 삽입된 콘텐츠를 보여줍니다.
Coinhive 공식 정보에 따르면, 'OT1CIcpkIOCO7yVMxcJiqmSWoDWOri06'은 사용자 사이트 키이며, 스로틀은 CPU 사용량을 제한하는 데 사용됩니다. 스로틀 수준은 다음과 같습니다.
스로틀: 0 – CPU 사용 제한 100개%
스로틀: 0.3 – CPU 사용량 제한을 80%로 설정
조절판: 0.5 – CPU 사용량 제한을 50%-70으로 설정%
Pirate Bay 웹사이트에 접속한 후 CoinHive.min.js가 실행되어 채굴을 시작했습니다. CPU 사용량이 정의된 제한 수준에 도달했습니다. 일부 웹사이트에서는 사용량이 0.5로 정의되어 특정 브라우저 인스턴스가 연산량의 50%~70%를 차지합니다. 그림 2는 Pirate Bay 웹사이트 접속 후 관찰된 브라우저 및 전체 시스템의 CPU 사용량을 보여줍니다.
'CoinHive.min.js' 파일에서 관찰되는 또 다른 중요한 사항은 다음과 같습니다. 전에, 사용 WebAssembly. 그것은 특별히 실행됩니다 웹 브라우저. 비슷합니다 에 저수준 어셈블리-like 언어가 실행됩니다 마이닝 기능 구현에 웹 어셈블리를 사용하는 주요 요인은 네이티브에 가까운 성능입니다.
WebAssembly는 다음을 사용합니다. CryptonightWASMWrapper 해시를 생성하는 웹 어셈블리 해시 함수입니다. 임의 크기의 데이터를 고정 크기의 데이터에 매핑하고 난수 함수와 유사하게 동작하는 효율적으로 계산 가능한 함수입니다.
이 채굴 활동은 악의적인 행위는 아니지만, 시스템 소유자의 승인 없이 실행되고 CPU 전력을 소모하여 시스템 성능을 저하시킵니다. 이는 사용자에게 불편을 주고 업무에 상당한 지장을 초래합니다.
시크라이트 d발화
- Seqrite는 이러한 브라우저 내 Cryptojacking 공격을 감지하기 위한 일반적인 탐지 기능을 출시했습니다.
- 이러한 일반적인 감지 기능은 당사 제품의 여러 보안 계층에 걸쳐 적용됩니다.
탐지 s문신
Seqrite가 감지된 Coinhive 채굴 활동을 성공적으로 차단했습니다. 아래는 지난 몇 주 동안 관찰된 추세입니다.
브라우저 내 마이닝은 웹사이트 소유자와 마이닝 서비스 제공업체 모두에게 수익을 창출하는 매우 쉬운 방법입니다. Coinhive와 마찬가지로 JSEcoin, MineMyTraffic, CryptoLoot, CoinNebula와 같은 다른 서비스 제공업체들도 이 활동에 참여하고 있습니다. 브라우저 내 마이닝은 악의적인 활동은 아니지만, 무단 마이닝과 과도한 CPU 사용은 허용되어서는 안 됩니다. 또한, 인기 웹사이트 하나가 해킹당하면 여러 사용자에게 피해를 줄 수 있습니다.
악성코드 제작자는 이러한 채굴 서비스를 악의적인 목적으로 이용하고 있습니다. 사용자 여러분께서는 의심스러운 웹사이트 접속을 자제하고, 시스템이 이러한 채굴 활동에 악용되지 않도록 백신 프로그램을 최신 상태로 유지하시기 바랍니다.
참고자료
https://www.seqrite.com/blog/massive-campaign-delivering-monero-miner-via-compromised-websites/
https://www.seqrite.com/blog/beware-of-fake-cryptocurrency-mining-apps-a-report-by-quick-heal-security-labs/
주제 전문가
프라샨트 카담 | 퀵힐 보안 랩
