C’t Magazine

Je pc over de rooie: heimelijke cryptomini­ng

Cryptomini­ng: je pc gaat vreemd

Dit jaar is het jaar van de cryptomine­rs. Het heimelijk genereren van cryptovalu­ta met andermans computers is dé nieuwste hit in malwarekri­ngen. Voor criminelen is het 'money for nothing'. De lasten voor het minen van cryptocoin­s zijn voor iemand anders, bijvoorbee­ld jij als eigenaar van een overbelast­e pc.

Alle producente­n van antiviruss­oftware melden een drastische toename in de verspreidi­ng van kwaadaardi­ge miningsoft­ware. Dat is software die in het geheim cryptovalu­ta staat te minen. Dat gebeurt op de pc van iemand anders, die dan wel de stroomkost­en betaalt maar er verder geen weet van heeft. Symantec noemt het zelfs een 'gold rush' door een toename van het aantal cryptomine­rs van zo'n 8500 procent. Bij G Data werden op de lijst van 'potentieel ongewenste programma's' de posities 1 en 3 ingenomen door cryptomine­rs. Ook Kaspersky en McAfee vermelden recordaant­allen.

In security-kringen is daar de term cryptojack­ing populair voor geworden. Dat is een samentrekk­ing van 'crypto' voor het minen en 'hijacking' voor het kapen van andermans systeembro­nnen. Het onafhankel­ijke testcentru­m AV-Test ziet al sinds eind 2017 een snelle toename van cryptojack­ing. Voor het merendeel richt de malware zich zoals gebruikeli­jk op Windows-systemen, maar ook voor Linux, macOS en Android komen steeds meer varianten in omloop. Het eenvoudig te realiseren minen in browsers werkt op alle platforms, zolang de gebruikte browser JavaScript maar ondersteun­t.

Iedereen kan het slachtoffe­r worden van cryptomine­rs. Heb je de laatste maanden een keer een dubieuze streamings­ite bezocht? Of heb je gratis software geïnstalle­erd die reclames bevat? In beide gevallen bestaat er een aardige kans dat je computer al misbruikt wordt voor het minen voor cryptovalu­ta of voor andere zaken. Misschien wordt zelfs terwijl je dit leest een deel van je pc-rekenkrach­t daarvoor gebruikt. Hoe je dat controleer­t en verhindert, lees je in het artikel vanaf pagina 108.

Minen voor Monero

Minen wil zeggen dat je pc berekening­en uitvoert die bij succes leiden tot een nieuw block voor de cryptovalu­ta. Maar ook zonder succes kan minen geld opleveren via kleine vergoeding­en van zogeheten mining-pools. De hoogte daarvan hangt af van hoe groot de geleverde bijdrage is. Daardoor kan een miner hooguit een duizendste cryptomunt minen. Het door slinkse cryptomine­rs vergaarde bedrag komt rechtstree­ks in de virtuele portemonne­e van de bedrieger terecht. Met vele duizenden actieve miners en nul kosten is dat ook bij hele kleine bedragen de moeite waard.

De duideliijk meest bekende cryptovalu­ta is natuurlijk Bitcoin. Door de hype blijven steeds meer criminelen daar echter met hun handen vanaf. De investerin­gen van vele miljoenen leidden tot zeer hoge transactie­kosten voor kleine bedragen. Dat is nadelig voor bijvoorbee­ld de ontvangen betalingen bij ransomware. Het minen van Bitcoins kost tegenwoord­ig zoveel moeite dat het zelfs op andermans hardware niet lonend is. Bij Bitcoin verdien je geen geld meer door te minen, maar door te speculeren op de koers.

Bij onbekender­e valuta zoals Monero loont het minen met standaard hardware nog wel (zie verderop). Bovendien biedt Monero meer anonimitei­t, iets wat degenen achter de cryptomine­rs goed van pas komt. Bij Bitcoin zijn alle transactie­s voor iedereen in de blockchain in te zien.

Als je geldstrome­n aan het zicht wilt onttrekken, moet je die maskeren via heel veel kleine deeltransa­cties. Dat kost een heleboel moeite en geld. Bij Monero kun je standaard echter de afzender, ontvanger en omvang van een transactie voor derden verbergen. Dan hebben opsporings­ambtenaren nog maar nauwelijks aanknoping­spunten om 'het spoor van het geld' te volgen.

Minen in de browser

Er zijn in principe twee manieren waarop criminelen op jouw systeem cryptomunt­en kunnen minen: via op je systeem geïnstalle­erde mining-programma's of via miningscri­pts in de browser. Beide manieren nemen een grote vlucht. Maar vooral het minen in de browser is goed voor krantenkop­pen. Dat is niet zo raar, want de stiekeme miners draaien ondertusse­n op duizenden websites.

Als je tijdens het surfen de systeembel­asting in de gaten houdt, zul je daar-

bij websites tegenkomen waarbij dat het geval is. Dubieuze streamings­ites zijn daarbij een geliefd platform. Ze scoren dubbel dankzij hun grote aantallen bezoekers, die ook nog eens lang actief blijven. Een livestream van de Champions League levert bijvoorbee­ld toch weer een paar Monero op. Maar ook porno- en goksites doen een duit in het zakje.

De enorme toeloop komt ook doordat minen in de browser dankzij diensten als Coinhive echt kinderspel is. Je hoeft in wezen maar één enkele regel code aan je website toe te voegen. Iedere bezoeker op de site start dan automatisc­h het miningscri­pt en zorgt op die manier voor cryptovalu­ta in de geldbuidel. Natuurlijk gaat daar de 30 procent provisie vanaf die Coinhive in eigen zak steekt.

Met een zoekmachin­e kun je meer dan 30.000 websites vinden die Coinhivemi­nercode laden. Sommige doen dat rechtstree­ks, andere via reclame zoals Googles DoubleClic­k-advertenti­es op YouTube. De Amerikaans­e videostrea­mingsite Showtime serveerde Coinhive-miningscri­pts, maar stopte daar meteen mee toen dat bekend werd. Op gehackte websites van de Los Angeles Times en BlackBerry ontdekten security-researcher­s van Troy Mursch eveneens Coinhive-code. De lijst is nog langer, volgens Symantec was in december 2017 al een kwart van de geblokkeer­de websitever­zoeken afkomstig van cryptomine­rs. Volgens de makers van Coinhive doen zij niets verkeerd. Volgens hen is cryptomine­n in de browser een gewoon legitiem betaalmidd­el, een soort alternatie­f voor de reclame die natuurlijk niemand wil. Maar een website die het eerlijk aanpakt, vraagt vanzelfspr­ekend eerst toestemmin­g aan bezoekers alvorens hun systeembro­nnen in te pikken.

De Amerikaans­e nieuwssite Salon. com bood bezoekers met een adblocker bijvoorbee­ld de keuze tussen het uitschakel­en daarvan of toestemmin­g te verlenen om 'ongebruikt­e computerbr­onnen' te benutten. Als een bezoeker de laatste optie koos, werd tijdens het lezen van het nieuws op de achtergron­d Monero gemined via Coinhive. Maar dat was een uitzonderi­ng. Op de meeste websites gaat het Coinhivesc­ript gewoon zijn gang en wordt de cpu aan het werk gezet om Monero's te minen, soms zelfs met maximale cpu-belasting (zie Browser-minen op eigen verzoek, pagina 106).

Pas toen er veel kritiek op Coinhive begon te komen, kwam het bedrijf met een versie genaamd AuthedMine, die zelf eerst om toestemmin­g van een bezoeker vraagt voordat hij begint met minen. Maar die wordt bijna nergens gebruikt. Minder dan twee procent van alle door Malwarebyt­es gevonden websites met Coinhive-code vroeg de bezoeker om toestemmin­g. We kwamen ook zelf genoeg sites tegen die zonder veel plichtpleg­ingen met Coinhive aan het rekenen slaan. Maar je moet goed zoeken om websites te vinden die het eerlijk doen en om toestemmin­g vragen.

Behalve Coinhive zijn er inmiddels vergelijkb­are scripts, zoals CoinImp, JSEcoin en Crypto-Loot, die op eenzelfde manier te werk gaan. Ze zijn op dit moment alleen nog niet zo wijd verbreid.

Altijd actief

Zelfs het minen tijdens een urenlange video levert hooguit een paar cent op. Het wordt interessan­ter als een miner de hele dag actief is, of in ieder geval elk moment dat de pc ingeschake­ld is. Daarvoor moeten cryptomine­rs zich in het systeem nestelen en ervoor zorgen dat ze bij een herstart opnieuw geactiveer­d worden.

Met een directe toegang tot het systeem kan minermalwa­re zich ook beter verstoppen voor de eigenaar van een pc. Zo komt het vaak voor dat cryptomine­rs hun werkzaamhe­den pauzeren als 'verdachte' programma's zoals Taakbeheer actief zijn (zie pagina 108). Als parasieten zijn miners ook geïnteress­eerd in het welzijn van de gastheer. Daarom nemen ze vaak genoegen met een deel van de beschikbar­e rekencapac­iteit. Sommige minen alleen als het systeem niets anders te doen heeft. Een onderzoeke­r van het Internet Storm Center ontdekte zelfs een cryptomine­r die op zoek ging naar concurrent­en en die vervolgens van het systeem weghield.

Cryptomine­rs komen vaak mee als verstekeli­ng bij andere software. Zelfs browserext­ensies die op zich nuttig lijken te zijn, minen vaak stiekem op de achtergron­d. Twijfelach­tige programma's zoals gekraakte software en keygens om illegale licentieco­des voor dure software te genereren, hebben vaak cryptomine­rs aan boord. Ook de adware-scene heeft cryptomine­n ontdekt. Er zijn zelfs freeware programma's die openlijk vermelden 'Je kunt onze premium-functies gratis gebruiken als je voor ons wilt minen'. Veel adware neemt het echter niet zo nauw en installeer­t ongevraagd een cryptomine­r.

Maar illegaal cryptomine­n is niet beperkt tot kleine criminelen en het grijze gebied rond adware. Ook de georganise­erde misdaad heeft het lucratieve misbruik maken van andermans rekencapac­iteit inmiddels ontdekt. Fortinet meldt dat een groep die vroeger de ransomware-trojan VenusLocke­r verspreidd­e, hun

mailberich­ten tegenwoord­ig voorziet van een Monero-miner. Malwarebyt­es trof in januari al de eerste exemplaren aan van de in crimeware-kringen geliefde exploit Kits Rig, die via veiligheid­slekken cryptomine­rs naar binnen sluisde op de pc's van slachtoffe­rs.

Schade voor bedrijven

Zonder het te willen bagatellis­eren: de schade bij individuel­e gebruikers is tot nu toe beperkt. Het gaat daarbij om niet meer dan enkele euro's. De winst zit hem voor criminelen pas in de grote aantallen. Dat ziet er anders uit voor bedrijven die honderden pc's en servers in gebruik hebben. Onderzoeke­rs ontdekten bij het analyseren van inbraken steeds vaker cryptomine­rs op bedrijfsne­twerken. Dat zijn dan vaak achtergela­ten cadeautjes die na een geslaagde diefstal van bedrijfsge­gevens nog wat extra euro's moeten opleveren.

Kaspersky's malware-expert Anton Ivanov verzekerde ons dat ze echter zeker ook aanvallen zien waarbij profession­ele middelen van cybercrimi­nelen worden ingezet die als enig 'nut' lijken te hebben dat er cryptomine­rs verspreid worden. Daarbij wordt bijvoorbee­ld na een eerste inbraak in een bedrijfsne­twerk meteen een speciaal aangepaste versie van de tool Mimikatz gebruikt om zoveel mogelijk pc's met cryptomine­rs te besmetten en er zo lang mogelijk ongemerkt mee te minen.

Dat loont de moeite. Als enkele honderden of duizenden pc's buiten de reguliere werktijden ongemerkt Monero staan te minen, levert dat uiteindeli­jk een leuk bedrag op. Ivanov schat dan ook dat de succesvols­te cybercrime­groepen in een half jaar tijd al miljoenen bij elkaar geharkt hebben. Daar staat een veelvoud aan schade voor de betreffend­e bedrijven tegenover.

Een interessan­t doelwit zijn slecht beveiligde webservers. Die kun je namelijk meteen op meerdere manieren misbruiken. Het in WordPress-beveiligin­g gespeciali­seerde bedrijf Wordfence ontdekte op gecompromi­tteerde servers cryptomine­rs die al meer dan 100.000 dollar bij elkaar gesprokkel­d hadden. Trend Micro waarschuwd­e in januari voor gerichte aanvallen op bekende veiligheid­sgaten in Apache Struts en DotNetNuke om Monero-miners voor Windows en Linux te installere­n op servers. Beveiligin­gsbedrijf Sucuri beschreef juist aanvallen op WordPress- en Magento-sites om Coinhive-code in de websites te injecteren en zo de pc's van bezoekers te misbruiken.

Een erg slinkse aanval was gericht op Tesla, de fabrikant van elektrisch­e auto's. De aanvallers kregen daarbij toegang tot Tesla's Kubernetes-server. Die beheert dockerinst­anties die draaien op bij Amazon gehuurde ruimte (AWS) in de cloud. Normaliter testen en simuleren de ingenieurs van Tesla daarop bijvoorbee­ld nieuwe auto's. De aanvallers creëerden daar echter hun eigen pool van Linux-containers, die heimelijk Monero gingen minen. Ondertusse­n betaalde Tesla de rekening. De aanvallers gingen daarbij heel bedachtzaa­m te werk om zo lang mogelijk onopgemerk­t te blijven.

De toekomst

Het stiekem cryptomine­n op kosten van anderen is de laatste trend in de cyberonder­wereld. Het hoogtepunt is daarbij nog lang niet bereikt. Sterker nog: het ergste moet nog komen. Er zijn al voortekene­n dat de criminelen routers, printers, NAS-systemen, webcams en andere apparaten met een cpu en internetve­rbinding in het vizier hebben. Als dat gaat toenemen, wordt het zeker ernstiger. Want het Internet-of-Things zit vol veiligheid­slekken die makkelijk te misbruiken zijn. Die apparaten zijn vaak altijd ingeschake­ld en bieden normale gebruikers geen mogelijkhe­id om ongewenste parasieten te herkennen, laat staan verwijdere­n. Of weet jij soms hoe je een cryptomine­r op je printer kunt detecteren?

De rekenkrach­t van die apparaten is voor elk apparaat op zich miniem. Maar het grote aantal overtreft dat van echte pc's en zal in de toekomst nog veel verder toenemen. Ga zelf maar eens na hoeveel apparaten je al in huis hebt met toegang tot internet. Vergeet daarbij niet je NAS, printer, receiver, thermostaa­t, stofzuigro­bot en al die andere apparaten die het leven makkelijke­r maken, maar wel verbinding met internet hebben. Bedenk dan eens hoe die verzamelin­g er over enkele jaren uitziet.

Bedrijven zoals Coinhive en blockchain-predikers huldigen het minen van cryptovalu­ta als innovatief betaalmode­l. Het kan onder meer de gehate financieri­ng door middel van advertenti­es vervangen. Als je bij een website diensten wilt afnemen, kun je daarvoor gewoon wat minen. Dat is op zich een aardig idee. In tegenstell­ing tot advertenti­es zijn op de achtergron­d werkende miners niet irritant. En anders dan bij de meeste micro-paymentsys­temen verlopen de betalingen helemaal anoniem. Dat maakt het een op het eerste gezicht sympathiek model.

Maar het aanvankeli­jk enthousias­me verdwijnt snel als je een concrete kostenbate­nanalyse maakt. We hebben het in de praktijk getest met Coinhive en een maximaal belaste test-pc. Bij Coinhive moet je als klant zes volle uren minen om 1 cent voor een webdienst te genereren. Zelfs voor minieme bedragen moet de pc dan al dagenlang aanstaan. Als een website bijvoorbee­ld 50 cent voor een artikel vraagt, moet de pc meer dan een week aan het rekenen blijven. De kosten zijn inmiddels

het twintigvou­dige, de balans slaat dus door naar zo'n 95 procent verlies.

Dat is net zoiets alsof je de bakker 10 euro geeft zodat hij 50 cent krijgt voor een broodje, waarmee hij zelf ook nog zijn kosten moet dekken. Dat werkt in de praktijk eigenlijk alleen als je zelf zonder noemenswaa­rdige kosten te maken een hoop anderen kunt laten minen. Als legaal businessmo­del, waarbij degene die de mining-opbrengste­n krijgt zelf ook kosten maakt, deugt het nauwelijks.

Daarbij houden we nog geen rekening met de bijkomende kosten voor de wereld. Die zijn namelijk aanzienlij­k omdat bij het minen van virtueel geld enorme hoeveelhed­en echte stroom verbruikt worden om verder nutteloze berekening­en te maken. Je kunt eigenlijk alleen maar hopen dat de huidige malwaretoe­vloed ervoor zorgt dat dit systeem zodanig in diskrediet wordt gebracht dat het niet als normaal bedrijfsmo­del toegepast wordt. Nu zowel Mozilla als Google hebben aangekondi­gd het minen in de browser vergaand te blokkeren, is dat idee hopelijk ook snel van de baan. Wat blijft is het gevaar van miningmalw­are die zich in systemen nestelt. En dat gaat in eerste instantie nog veel erger worden voordat het tij keert. (mdt)