28.02.2018 06:25
NWOcs 15 8600 Источник

В преддверии NeoQUEST мы любим делиться разными историями, которые косвенно могут помочь участникам при прохождении заданий. В этот раз рассказываем абсолютно реальную историю на тему скрытого JS-майнинга в браузере пользователя, отчаянно намекая на то, что в NeoQUEST-2018 будет что помайнить!

Тема ранее уже поднималась на Хабре, но фантазия вирусописателей неиссякаема! Недавно мы обнаружили более масштабное применение майнинга на JS в браузере пользователя. Будь бдителен, хабраюзер, и добро пожаловать под кат: расскажем обо всем подробнее!

Как это часто бывает, поиски вредоноса начинаются с того, что пользователь жалуется на то, что у него «тормозит комп». Так было и в этот раз. Имеем ноутбук с Ubuntu, жалобу на то, что «он тормозит», и, в общем-то, больше ничего.

Попытка отследить ресурсы (CPU, RAM, etc) не привела ни к чему – всё тихо. Были проверены различные браузеры, проведен поиск каких-либо подозрительных программ, расширений, очищен кэш браузера… Все работает исправно.

Через некоторое время пользователь снова жалуется на то же самое! Самое интересное в том, что как только ноутбук попал ко мне в руки, все «симптомы» плохой работы исчезали, и объяснения этому не было, а владельцу ноутбука оставалось лишь удивленно развести руками.

Развязка этой проблемы заключалась… В развязке другой, побочной проблемы! Но — обо всём по порядку.

Прожорливый Safari


В какой-то момент появилась необходимость зайти с личного ноутбука в Интернет с той же Wi-Fi сети, в которой и использовался «тормозящий» компьютер. И тут было замечено, что браузер Safari на личном ноутбуке начинал нещадно «сжирать» ресурсы CPU! Сложно было предположить изначально, что эти проблемы производительности имели общие причины с «проблемным» ноутбуком под управлением Ubuntu…



На скриншоте видно, что некий сайт включает много раз скрипт с непонятным именем, а также есть несколько сторонних скриптов от двух расширений браузера. Поначалу, вспомнив о вышеуказанной статье, было решено, что просто владельцы сайта установили майнер себе на сайт, как и в случае c зоомагазином из упомянутой выше статьи.

Мы уже почти были готовы отправить владельцам сайта письмо о том, какие они нехорошие, но решили на всякий случай всё перепроверить – и не напрасно!

А виноват ли браузер?


Были отключены, а затем удалены все расширения браузера, но проблема не исчезала, в любом случае, на сайте присутствовал следующий скрипт:



Дальнейшее исследование в отладчике показало – это был майнер криптовалюты Monero на алгоритме CryptoNight. Казалось бы, ну уж точно майнер на сайте, а не на ноутбуке…

Затем было замечено, что тот же самый скрипт появляется и на других сайтах! Были использованы другие браузеры без всяких расширений и плагинов. Результат тот же — на некоторых сайтах появляется один и тот же скрипт со встроенным майнером.

Откуда он берется? Проблема в компьютере? Появление скрипта в разных браузерах и на разных сайтах наталкивает только на одну мысль: rootkit в системе. Так как поиски были уж очень утомительными, а проблема требовала незамедлительного решения еще вчера, было решено переустановить систему.

Когда даже переустановка ОС не спасает...


Переустановка MacOS не решила абсолютно ничего! Все точно так же, как и раньше. Это стало причиной серьезных сомнений в роутере, провайдере, и вообще — причиной массовой паранойи. Было решено проверить интернет соединение «на вредоносность». Мы использовали альтернативные источники Интернет-соединения (4G), и результаты были удивительными!

Майнер не появлялся на том же самом сайте, на котором он был, когда использовался проводной Интернет. Для проверки также был привлечен еще один ноутбук, на этот раз уже с ОС Windows. Очевидно, проблема в Интернет-соединении – но где именно?

Мы подключили сетевой кабель провайдера напрямую, минуя роутер, и снова скрипта не обнаружилось! Несколько раз мы все перепроверили, и подтвердилось предположение: на роутере установлено вредоносное программное обеспечение, которое выполняет HTTP+TCP MITM, и вставляет вредоносный код майнера в каждую страничку сайта, не использующего HTTPS. Отсюда и нестабильное поведение – если открыта вкладка с HTTP сайтом, значит, ваш процессор уже майнит Monero для вирусописателей!

Проблема окончательно была решена срочной перепрошивкой роутера. Что это вообще был за роутер? Rostelecom Sagemcom F@st 1744, с прошивкой под Ростелеком.

Как вообще попал вредонос на роутер? Ответ прост: Ростелеком на данный момент выдает во многих (если не во всех) регионах белый IP своим пользователям, хоть и динамический, но белый.

Но ведь белого IP мало? Конечно, ведь еще в стандартной прошивке этого роутера открыта куча портов наружу, в том числе? и WEB-интерфейс. Логин и пароль оставляют дефолтными, и вот пожалуйста — открытая дверь для вредоносного ПО!

Образцов малвари, к сожалению, не осталось, но сама ситуация надолго останется в памяти! Придется теперь «дуть на воду», проверяя не только сайты, но и собственное сетевое оборудование.

Столь популярную тему криптовалют мы не могли обойти в NeoQUEST! Про то, что такое блокчейн, какой он классный, безопасный и перспективный, написано уже столько, что многие мечтают найти в нем уязвимость и утереть нос надоедливым крипто-стартаперам.

И у участников NeoQUEST будет такой шанс! Кроме того, их ждут задания на конкурентную разведка (OSINT), поиск уязвимостей, безопасность Android и Web, и не только! Так что смело регистрируйся, а по всем вопросам пиши нам на support@neoquest.ru!

Комментарии (15)


  1. andreili
    28.02.2018 09:50
    #10689846

    Ну блин, при наличии «белого» IP, смена пары логин/пароль для веб-морды первейшее дело даже дома. А ещё лучше — если есть настройка, запрещающая доступ к интерфейсам (Web, telnet, ssh) из «внешней» сети, что бы разрешались подключения только из локального сегмента.


    1. ivan386
      28.02.2018 10:37
      #10689894

      Ростелекомовцы тогда не смогут удалённо подключиться к роутеру чтоб поправить бабушке настройки если что.


      1. Xalium
        28.02.2018 10:46
        #10689904

        Пускай при отдаче своих роутеров клиентам генерят пароль и заносят его в базу с соответствием или дом. адресу клиента или серийнику роутера.
        И юзают эту пару, а не дефолт. А то охренели.


    1. wazzard
      28.02.2018 10:59
      #10689914

      Знакомый из тех.поддержки ростелика говорите, что настройки логина/пароля, на роутерах, у них не дефолтные, и менять их не советуют, что бы тех.поддержка могла сама проводить настройку удаленно.


      1. fedorro
        28.02.2018 11:47
        #10690004

        У меня от РТ были две модели роутеров и в них под техподдержку был отдельный пользователь и протокол. Хотя и на них можно было зайти в веб-интерфейс под рутовым пользователем. Я так нечаянно кому-то сменил дефлотный пароль, когда мой статический адрес, вдруг стал не моим)


      1. DeniSun
        28.02.2018 16:22
        #10690428

        Роутер, которым мне предоставил РТ при подключении оптики, был со стандартной парой логин/пароль. Причем в инете можно было найти эти пары (всего 4 шт).
        Поменять пароль для админа на роутере в той прошивке было невозможно!


  1. nckma
    28.02.2018 11:41
    #10689990

    Я вот правда не понимаю, что можно намайнить в JS?
    Тут видеокарту запускаешь майнить какй нибудь копеечный блейккоин и ничего не выходит — слишком маленький хэшрейт всего 1,3Гхэша.
    Я понимаю, что клиентов получается много, но их же как-то синхронизировать нужно, раздавать каждому свое задание.


    1. esc
      28.02.2018 11:58
      #10690026

      майнят через webassebly и монеро, который на видеокартах не майнится.


      1. Revertis
        28.02.2018 12:58
        #10690134

        Фигню говорите. Все монеты типа Монеро, которые на алгоритме CryptoNight, майнятся на видеокартах. На проце i5 можно выжать примерно 150-180 хэшей в секунду, на видюхе типа HD 7870 — 400-500х/сек. И эти 400 хэшей примерно дадут 15-20 баксов в месяц.


        1. esc
          28.02.2018 13:05
          #10690160

          Ну может и фигню, в данном случае, сужу на основе публикаций в разных СМИ, где говорилось о невозможности майнинга на видеокартах.

          Однако, нативный код для майнинга таки используется. И если с i5 можно выжать 7$ в месяц, то с 10000 тыс i5 можно выжать 70k$ в месяц. Т.е. при 10000 зараженных роутеров получатся норм деньги даже с учетом того, что не у всех i5, не всегда включен компьютер, не всегда запущен браузер с http сайтами и все такое (при этом, компьютеров может быть несколько за одним роутером).

          Объем решает.


          1. Revertis
            28.02.2018 14:31
            #10690260

            на основе публикаций в разных СМИ, где говорилось о невозможности майнинга на видеокартах
            Скорее всего, учёный изнасиловал журналиста. В смысле, имелись ввиду ASIC'и, а не видюхи :)


        1. xDimus
          28.02.2018 14:51
          #10690298

          На AMD FX или Ryzen раза в 2-3 побольше i5


  1. Burtanshy
    28.02.2018 11:58
    #10690030

    ну если бабушке или блондинке нужно настроить что то удаленно, то пусть потом и не жалуется, если не разбирается.
    а так… сервис удаленного доступа для ростелекома? ключи от дома не хотят?)) кооперация с роспотребнадзор-тян какая то получается.


  1. safari2012
    28.02.2018 19:22
    #10690568

    Мне сегодня как раз подключили РТ и принесли как раз такой sagem. К чести конкретно сегодняшнего монтажника РТ, дефолтный пароль от роутера и вайфая он предложил мне поменять, не отходя от кассы.


  1. GH0st3rs
    02.03.2018 09:47
    #10692392

    Вроде как у статьи должно быть продолжение, про похожую ситуацию на роутерах Билайна?