Je pc over de rooie: hei­me­lij­ke cryp­to­mi­ning

Cryp­to­mi­ning: je pc gaat vreemd

C’t Magazine - - Inbound 6/2018 - Jür­gen Sch­midt

Dit jaar is het jaar van de cryp­to­mi­ners. Het hei­me­lijk ge­ne­re­ren van crypt­ova­lu­ta met an­der­mans com­pu­ters is dé nieuw­ste hit in mal­wa­re­krin­gen. Voor cri­mi­ne­len is het 'mo­ney for no­thing'. De las­ten voor het mi­nen van cryp­to­coins zijn voor ie­mand an­ders, bij­voor­beeld jij als ei­ge­naar van een over­be­las­te pc.

Al­le pro­du­cen­ten van an­ti­vi­rus­soft­wa­re mel­den een dras­ti­sche toe­na­me in de ver­sprei­ding van kwaad­aar­di­ge mi­ningsoft­wa­re. Dat is soft­wa­re die in het ge­heim crypt­ova­lu­ta staat te mi­nen. Dat ge­beurt op de pc van ie­mand an­ders, die dan wel de stroom­kos­ten be­taalt maar er ver­der geen weet van heeft. Sy­man­tec noemt het zelfs een 'gold rush' door een toe­na­me van het aan­tal cryp­to­mi­ners van zo'n 8500 pro­cent. Bij G Da­ta wer­den op de lijst van 'po­ten­ti­eel on­ge­wens­te pro­gram­ma's' de po­si­ties 1 en 3 in­ge­no­men door cryp­to­mi­ners. Ook Kas­pers­ky en McA­fee ver­mel­den re­cord­aan­tal­len.

In se­cu­ri­ty-krin­gen is daar de term cryp­to­jac­king po­pu­lair voor ge­wor­den. Dat is een sa­men­trek­king van 'cryp­to' voor het mi­nen en 'hij­ac­king' voor het ka­pen van an­der­mans sys­teem­bron­nen. Het on­af­han­ke­lij­ke test­cen­trum AV-Test ziet al sinds eind 2017 een snel­le toe­na­me van cryp­to­jac­king. Voor het me­ren­deel richt de mal­wa­re zich zo­als ge­brui­ke­lijk op Win­dows-sys­te­men, maar ook voor Li­nux, macOS en An­droid ko­men steeds meer va­ri­an­ten in om­loop. Het een­vou­dig te re­a­li­se­ren mi­nen in brow­sers werkt op al­le plat­forms, zo­lang de ge­bruik­te brow­ser Ja­vaScript maar on­der­steunt.

Ie­der­een kan het slacht­of­fer wor­den van cryp­to­mi­ners. Heb je de laat­ste maan­den een keer een du­bi­eu­ze strea­ming­site be­zocht? Of heb je gratis soft­wa­re ge­ïn­stal­leerd die re­cla­mes be­vat? In bei­de ge­val­len be­staat er een aar­di­ge kans dat je com­pu­ter al mis­bruikt wordt voor het mi­nen voor crypt­ova­lu­ta of voor an­de­re za­ken. Mis­schien wordt zelfs ter­wijl je dit leest een deel van je pc-re­ken­kracht daar­voor ge­bruikt. Hoe je dat con­tro­leert en ver­hin­dert, lees je in het ar­ti­kel van­af pa­gi­na 108.

Mi­nen voor Mo­ne­ro

Mi­nen wil zeg­gen dat je pc be­re­ke­nin­gen uit­voert die bij suc­ces lei­den tot een nieuw block voor de crypt­ova­lu­ta. Maar ook zon­der suc­ces kan mi­nen geld op­le­ve­ren via klei­ne ver­goe­din­gen van zo­ge­he­ten mi­ning-pools. De hoog­te daar­van hangt af van hoe groot de ge­le­ver­de bij­dra­ge is. Daar­door kan een mi­ner hoog­uit een dui­zend­ste cryp­to­munt mi­nen. Het door slink­se cryp­to­mi­ners ver­gaar­de be­drag komt recht­streeks in de vir­tu­e­le por­te­mon­nee van de be­drie­ger te­recht. Met ve­le dui­zen­den ac­tie­ve mi­ners en nul kos­ten is dat ook bij he­le klei­ne be­dra­gen de moei­te waard.

De dui­de­li­ijk meest be­ken­de crypt­ova­lu­ta is na­tuur­lijk Bit­coin. Door de hy­pe blij­ven steeds meer cri­mi­ne­len daar ech­ter met hun han­den van­af. De in­ves­te­rin­gen van ve­le mil­joe­nen leid­den tot zeer ho­ge trans­ac­tie­kos­ten voor klei­ne be­dra­gen. Dat is na­de­lig voor bij­voor­beeld de ont­van­gen be­ta­lin­gen bij ransom­wa­re. Het mi­nen van Bit­coins kost te­gen­woor­dig zo­veel moei­te dat het zelfs op an­der­mans hard­wa­re niet lo­nend is. Bij Bit­coin ver­dien je geen geld meer door te mi­nen, maar door te spe­cu­le­ren op de koers.

Bij on­be­ken­de­re va­lu­ta zo­als Mo­ne­ro loont het mi­nen met stan­daard hard­wa­re nog wel (zie ver­der­op). Bo­ven­dien biedt Mo­ne­ro meer ano­ni­mi­teit, iets wat de­ge­nen ach­ter de cryp­to­mi­ners goed van pas komt. Bij Bit­coin zijn al­le trans­ac­ties voor ie­der­een in de block­chain in te zien.

Als je geld­stro­men aan het zicht wilt ont­trek­ken, moet je die mas­ke­ren via heel veel klei­ne deel­trans­ac­ties. Dat kost een he­le­boel moei­te en geld. Bij Mo­ne­ro kun je stan­daard ech­ter de af­zen­der, ont­van­ger en om­vang van een trans­ac­tie voor der­den ver­ber­gen. Dan heb­ben op­spo­rings­amb­te­na­ren nog maar nau­we­lijks aan­kno­pings­pun­ten om 'het spoor van het geld' te vol­gen.

Mi­nen in de brow­ser

Er zijn in prin­ci­pe twee ma­nie­ren waar­op cri­mi­ne­len op jouw sys­teem cryp­to­mun­ten kun­nen mi­nen: via op je sys­teem ge­ïn­stal­leer­de mi­ning-pro­gram­ma's of via mi­ningscripts in de brow­ser. Bei­de ma­nie­ren ne­men een gro­te vlucht. Maar voor­al het mi­nen in de brow­ser is goed voor kran­ten­kop­pen. Dat is niet zo raar, want de stie­ke­me mi­ners draai­en on­der­tus­sen op dui­zen­den web­si­tes.

Als je tij­dens het sur­fen de sys­teem­be­las­ting in de ga­ten houdt, zul je daar-

bij web­si­tes te­gen­ko­men waar­bij dat het ge­val is. Du­bi­eu­ze strea­ming­si­tes zijn daar­bij een ge­liefd plat­form. Ze sco­ren dub­bel dank­zij hun gro­te aan­tal­len be­zoe­kers, die ook nog eens lang ac­tief blij­ven. Een li­vestream van de Cham­pi­ons Le­a­gue le­vert bij­voor­beeld toch weer een paar Mo­ne­ro op. Maar ook por­no- en gok­si­tes doen een duit in het zak­je.

De enor­me toe­loop komt ook door­dat mi­nen in de brow­ser dank­zij dien­sten als Coin­hi­ve echt kin­der­spel is. Je hoeft in we­zen maar één en­ke­le re­gel co­de aan je web­si­te toe te voe­gen. Ie­de­re be­zoe­ker op de si­te start dan au­to­ma­tisch het mi­ningscript en zorgt op die ma­nier voor crypt­ova­lu­ta in de geld­bui­del. Na­tuur­lijk gaat daar de 30 pro­cent pro­vi­sie van­af die Coin­hi­ve in ei­gen zak steekt.

Met een zoek­ma­chi­ne kun je meer dan 30.000 web­si­tes vin­den die Coin­hi­ve­mi­ner­co­de la­den. Som­mi­ge doen dat recht­streeks, an­de­re via re­cla­me zo­als Goog­les Dou­bleC­lick-ad­ver­ten­ties op You­Tu­be. De Ame­ri­kaan­se vi­deo­st­rea­ming­site Show­ti­me ser­veer­de Coin­hi­ve-mi­ningscripts, maar stop­te daar met­een mee toen dat be­kend werd. Op ge­hack­te web­si­tes van de Los An­ge­les Times en Black­Ber­ry ont­dek­ten se­cu­ri­ty-re­searchers van Troy Mursch even­eens Coin­hi­ve-co­de. De lijst is nog lan­ger, vol­gens Sy­man­tec was in de­cem­ber 2017 al een kwart van de ge­blok­keer­de web­si­te­ver­zoe­ken af­kom­stig van cryp­to­mi­ners. Vol­gens de ma­kers van Coin­hi­ve doen zij niets ver­keerd. Vol­gens hen is cryp­to­mi­nen in de brow­ser een ge­woon le­gi­tiem be­taal­mid­del, een soort al­ter­na­tief voor de re­cla­me die na­tuur­lijk nie­mand wil. Maar een web­si­te die het eer­lijk aan­pakt, vraagt van­zelf­spre­kend eerst toe­stem­ming aan be­zoe­kers al­vo­rens hun sys­teem­bron­nen in te pik­ken.

De Ame­ri­kaan­se nieuws­si­te Sa­lon. com bood be­zoe­kers met een ad­bloc­ker bij­voor­beeld de keu­ze tus­sen het uit­scha­ke­len daar­van of toe­stem­ming te ver­le­nen om 'on­ge­bruik­te com­pu­ter­bron­nen' te be­nut­ten. Als een be­zoe­ker de laat­ste op­tie koos, werd tij­dens het le­zen van het nieuws op de ach­ter­grond Mo­ne­ro ge­mi­ned via Coin­hi­ve. Maar dat was een uit­zon­de­ring. Op de mees­te web­si­tes gaat het Coin­hi­ve­s­cript ge­woon zijn gang en wordt de cpu aan het werk ge­zet om Mo­ne­ro's te mi­nen, soms zelfs met maxi­ma­le cpu-be­las­ting (zie Brow­ser-mi­nen op ei­gen ver­zoek, pa­gi­na 106).

Pas toen er veel kri­tiek op Coin­hi­ve be­gon te ko­men, kwam het be­drijf met een ver­sie ge­naamd Authe­dMi­ne, die zelf eerst om toe­stem­ming van een be­zoe­ker vraagt voor­dat hij be­gint met mi­nen. Maar die wordt bij­na ner­gens ge­bruikt. Min­der dan twee pro­cent van al­le door Mal­wa­reby­tes ge­von­den web­si­tes met Coin­hi­ve-co­de vroeg de be­zoe­ker om toe­stem­ming. We kwa­men ook zelf ge­noeg si­tes te­gen die zon­der veel plicht­ple­gin­gen met Coin­hi­ve aan het re­ke­nen slaan. Maar je moet goed zoe­ken om web­si­tes te vin­den die het eer­lijk doen en om toe­stem­ming vra­gen.

Be­hal­ve Coin­hi­ve zijn er in­mid­dels ver­ge­lijk­ba­re scripts, zo­als CoinImp, JSE­coin en Cryp­to-Loot, die op een­zelf­de ma­nier te werk gaan. Ze zijn op dit mo­ment al­leen nog niet zo wijd ver­breid.

Al­tijd ac­tief

Zelfs het mi­nen tij­dens een uren­lan­ge vi­deo le­vert hoog­uit een paar cent op. Het wordt in­te­res­san­ter als een mi­ner de he­le dag ac­tief is, of in ie­der ge­val elk mo­ment dat de pc in­ge­scha­keld is. Daar­voor moe­ten cryp­to­mi­ners zich in het sys­teem nes­te­len en er­voor zor­gen dat ze bij een her­start op­nieuw ge­ac­ti­veerd wor­den.

Met een di­rec­te toe­gang tot het sys­teem kan mi­ner­mal­wa­re zich ook be­ter ver­stop­pen voor de ei­ge­naar van een pc. Zo komt het vaak voor dat cryp­to­mi­ners hun werk­zaam­he­den pau­ze­ren als 'ver­dach­te' pro­gram­ma's zo­als Taak­be­heer ac­tief zijn (zie pa­gi­na 108). Als pa­ra­sie­ten zijn mi­ners ook ge­ïn­te­res­seerd in het wel­zijn van de gast­heer. Daar­om ne­men ze vaak ge­noe­gen met een deel van de be­schik­ba­re re­ken­ca­pa­ci­teit. Som­mi­ge mi­nen al­leen als het sys­teem niets an­ders te doen heeft. Een on­der­zoe­ker van het In­ter­net Storm Cen­ter ont­dek­te zelfs een cryp­to­mi­ner die op zoek ging naar con­cur­ren­ten en die ver­vol­gens van het sys­teem weg­hield.

Cryp­to­mi­ners ko­men vaak mee als ver­ste­ke­ling bij an­de­re soft­wa­re. Zelfs brow­ser­ex­ten­sies die op zich nut­tig lij­ken te zijn, mi­nen vaak stie­kem op de ach­ter­grond. Twij­fel­ach­ti­ge pro­gram­ma's zo­als ge­kraak­te soft­wa­re en key­gens om il­le­ga­le li­cen­tie­co­des voor du­re soft­wa­re te ge­ne­re­ren, heb­ben vaak cryp­to­mi­ners aan boord. Ook de ad­wa­re-sce­ne heeft cryp­to­mi­nen ont­dekt. Er zijn zelfs free­wa­re pro­gram­ma's die open­lijk ver­mel­den 'Je kunt on­ze pre­mi­um-func­ties gratis ge­brui­ken als je voor ons wilt mi­nen'. Veel ad­wa­re neemt het ech­ter niet zo nauw en in­stal­leert on­ge­vraagd een cryp­to­mi­ner.

Maar il­le­gaal cryp­to­mi­nen is niet be­perkt tot klei­ne cri­mi­ne­len en het grij­ze ge­bied rond ad­wa­re. Ook de ge­or­ga­ni­seer­de mis­daad heeft het lu­cra­tie­ve mis­bruik ma­ken van an­der­mans re­ken­ca­pa­ci­teit in­mid­dels ont­dekt. For­ti­net meldt dat een groep die vroe­ger de ransom­wa­re-tro­jan Ve­nusLoc­ker ver­spreid­de, hun

mail­be­rich­ten te­gen­woor­dig voor­ziet van een Mo­ne­ro-mi­ner. Mal­wa­reby­tes trof in ja­nu­a­ri al de eerste exem­pla­ren aan van de in cri­me­wa­re-krin­gen ge­lief­de ex­ploit Kits Rig, die via vei­lig­heids­lek­ken cryp­to­mi­ners naar bin­nen sluis­de op de pc's van slacht­of­fers.

Scha­de voor be­drij­ven

Zon­der het te wil­len ba­ga­tel­li­se­ren: de scha­de bij in­di­vi­du­e­le ge­brui­kers is tot nu toe be­perkt. Het gaat daar­bij om niet meer dan en­ke­le eu­ro's. De winst zit hem voor cri­mi­ne­len pas in de gro­te aan­tal­len. Dat ziet er an­ders uit voor be­drij­ven die hon­der­den pc's en ser­vers in ge­bruik heb­ben. On­der­zoe­kers ont­dek­ten bij het ana­ly­se­ren van inbraken steeds va­ker cryp­to­mi­ners op be­drijfs­net­wer­ken. Dat zijn dan vaak ach­ter­ge­la­ten ca­deau­tjes die na een ge­slaag­de dief­stal van be­drijfs­ge­ge­vens nog wat extra eu­ro's moe­ten op­le­ve­ren.

Kas­pers­ky's mal­wa­re-ex­pert An­ton Iva­nov ver­ze­ker­de ons dat ze ech­ter ze­ker ook aan­val­len zien waar­bij pro­fes­si­o­ne­le mid­de­len van cy­ber­cri­mi­ne­len wor­den in­ge­zet die als enig 'nut' lij­ken te heb­ben dat er cryp­to­mi­ners ver­spreid wor­den. Daar­bij wordt bij­voor­beeld na een eerste in­braak in een be­drijfs­net­werk met­een een spe­ci­aal aan­ge­pas­te ver­sie van de tool Mi­mi­katz ge­bruikt om zo­veel mo­ge­lijk pc's met cryp­to­mi­ners te be­smet­ten en er zo lang mo­ge­lijk on­ge­merkt mee te mi­nen.

Dat loont de moei­te. Als en­ke­le hon­der­den of dui­zen­den pc's bui­ten de re­gu­lie­re werk­tij­den on­ge­merkt Mo­ne­ro staan te mi­nen, le­vert dat ui­t­ein­de­lijk een leuk be­drag op. Iva­nov schat dan ook dat de suc­ces­vol­ste cy­ber­cri­me­groe­pen in een half jaar tijd al mil­joe­nen bij el­kaar ge­harkt heb­ben. Daar staat een veel­voud aan scha­de voor de be­tref­fen­de be­drij­ven te­gen­over.

Een in­te­res­sant doel­wit zijn slecht be­vei­lig­de web­ser­vers. Die kun je na­me­lijk met­een op meer­de­re ma­nie­ren mis­brui­ken. Het in Wor­dPress-be­vei­li­ging ge­spe­ci­a­li­seer­de be­drijf Word­fen­ce ont­dek­te op ge­com­pro­mit­teer­de ser­vers cryp­to­mi­ners die al meer dan 100.000 dol­lar bij el­kaar ge­sprok­keld had­den. Trend Mi­cro waar­schuw­de in ja­nu­a­ri voor ge­rich­te aan­val­len op be­ken­de vei­lig­heids­ga­ten in Apa­che Struts en DotNetNu­ke om Mo­ne­ro-mi­ners voor Win­dows en Li­nux te in­stal­le­ren op ser­vers. Be­vei­li­gings­be­drijf Su­cu­ri be­schreef juist aan­val­len op Wor­dPress- en Ma­gen­to-si­tes om Coin­hi­ve-co­de in de web­si­tes te in­jec­te­ren en zo de pc's van be­zoe­kers te mis­brui­ken.

Een erg slink­se aan­val was ge­richt op Te­sla, de fa­bri­kant van elek­tri­sche au­to's. De aan­val­lers kre­gen daar­bij toe­gang tot Te­sla's Ku­ber­ne­tes-ser­ver. Die be­heert doc­ker­in­stan­ties die draai­en op bij Ama­zon ge­huur­de ruim­te (AWS) in de cloud. Nor­ma­li­ter tes­ten en si­mu­le­ren de in­ge­ni­eurs van Te­sla daar­op bij­voor­beeld nieu­we au­to's. De aan­val­lers cre­ëer­den daar ech­ter hun ei­gen pool van Li­nux-con­tai­ners, die hei­me­lijk Mo­ne­ro gin­gen mi­nen. On­der­tus­sen be­taal­de Te­sla de re­ke­ning. De aan­val­lers gin­gen daar­bij heel be­dacht­zaam te werk om zo lang mo­ge­lijk on­op­ge­merkt te blij­ven.

De toe­komst

Het stie­kem cryp­to­mi­nen op kos­ten van an­de­ren is de laat­ste trend in de cy­be­ron­der­we­reld. Het hoog­te­punt is daar­bij nog lang niet be­reikt. Ster­ker nog: het erg­ste moet nog ko­men. Er zijn al voor­te­ke­nen dat de cri­mi­ne­len rou­ters, prin­ters, NAS-sys­te­men, web­cams en an­de­re ap­pa­ra­ten met een cpu en in­ter­net­ver­bin­ding in het vi­zier heb­ben. Als dat gaat toe­ne­men, wordt het ze­ker ern­sti­ger. Want het In­ter­net-of-Things zit vol vei­lig­heids­lek­ken die mak­ke­lijk te mis­brui­ken zijn. Die ap­pa­ra­ten zijn vaak al­tijd in­ge­scha­keld en bie­den nor­ma­le ge­brui­kers geen mo­ge­lijk­heid om on­ge­wens­te pa­ra­sie­ten te her­ken­nen, laat staan ver­wij­de­ren. Of weet jij soms hoe je een cryp­to­mi­ner op je prin­ter kunt de­tec­te­ren?

De re­ken­kracht van die ap­pa­ra­ten is voor elk ap­pa­raat op zich mi­niem. Maar het gro­te aan­tal over­treft dat van ech­te pc's en zal in de toe­komst nog veel ver­der toe­ne­men. Ga zelf maar eens na hoe­veel ap­pa­ra­ten je al in huis hebt met toe­gang tot in­ter­net. Ver­geet daar­bij niet je NAS, prin­ter, re­cei­ver, ther­mo­staat, stof­zuig­ro­bot en al die an­de­re ap­pa­ra­ten die het le­ven mak­ke­lij­ker ma­ken, maar wel ver­bin­ding met in­ter­net heb­ben. Be­denk dan eens hoe die ver­za­me­ling er over en­ke­le ja­ren uit­ziet.

Be­drij­ven zo­als Coin­hi­ve en block­chain-pre­di­kers hul­di­gen het mi­nen van crypt­ova­lu­ta als in­no­va­tief be­taal­mo­del. Het kan on­der meer de ge­ha­te fi­nan­cie­ring door mid­del van ad­ver­ten­ties ver­van­gen. Als je bij een web­si­te dien­sten wilt af­ne­men, kun je daar­voor ge­woon wat mi­nen. Dat is op zich een aar­dig idee. In te­gen­stel­ling tot ad­ver­ten­ties zijn op de ach­ter­grond wer­ken­de mi­ners niet ir­ri­tant. En an­ders dan bij de mees­te mi­cro-pay­ment­sys­te­men ver­lo­pen de be­ta­lin­gen he­le­maal ano­niem. Dat maakt het een op het eerste ge­zicht sym­pa­thiek mo­del.

Maar het aan­van­ke­lijk en­thou­si­as­me ver­dwijnt snel als je een con­cre­te kos­ten­ba­ten­ana­ly­se maakt. We heb­ben het in de prak­tijk ge­test met Coin­hi­ve en een maxi­maal be­las­te test-pc. Bij Coin­hi­ve moet je als klant zes vol­le uren mi­nen om 1 cent voor een web­dienst te ge­ne­re­ren. Zelfs voor mi­nie­me be­dra­gen moet de pc dan al da­gen­lang aan­staan. Als een web­si­te bij­voor­beeld 50 cent voor een ar­ti­kel vraagt, moet de pc meer dan een week aan het re­ke­nen blij­ven. De kos­ten zijn in­mid­dels

het twin­tig­vou­di­ge, de ba­lans slaat dus door naar zo'n 95 pro­cent ver­lies.

Dat is net zo­iets als­of je de bak­ker 10 eu­ro geeft zo­dat hij 50 cent krijgt voor een brood­je, waar­mee hij zelf ook nog zijn kos­ten moet dek­ken. Dat werkt in de prak­tijk ei­gen­lijk al­leen als je zelf zon­der noe­mens­waar­di­ge kos­ten te ma­ken een hoop an­de­ren kunt la­ten mi­nen. Als le­gaal bu­si­ness­mo­del, waar­bij de­ge­ne die de mi­ning-op­breng­sten krijgt zelf ook kos­ten maakt, deugt het nau­we­lijks.

Daar­bij hou­den we nog geen re­ke­ning met de bij­ko­men­de kos­ten voor de we­reld. Die zijn na­me­lijk aan­zien­lijk om­dat bij het mi­nen van vir­tu­eel geld enor­me hoe­veel­he­den ech­te stroom ver­bruikt wor­den om ver­der nut­te­lo­ze be­re­ke­nin­gen te ma­ken. Je kunt ei­gen­lijk al­leen maar ho­pen dat de hui­di­ge mal­wa­re­toe­vloed er­voor zorgt dat dit sys­teem zo­da­nig in dis­kre­diet wordt ge­bracht dat het niet als nor­maal be­drijfs­mo­del toe­ge­past wordt. Nu zo­wel Mo­zil­la als Goog­le heb­ben aan­ge­kon­digd het mi­nen in de brow­ser ver­gaand te blok­ke­ren, is dat idee ho­pe­lijk ook snel van de baan. Wat blijft is het ge­vaar van mi­ning­mal­wa­re die zich in sys­te­men nes­telt. En dat gaat in eerste in­stan­tie nog veel er­ger wor­den voor­dat het tij keert. (mdt)

De strea­ming­site SportStream.tv ge­bruikt Authe­dMi­ne. Na­dat we daar toe­stem­ming voor ga­ven, steeg de cpu-be­las­ting op al­le vier de co­res van de test-pc naar 100 pro­cent.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.