CoinHive Bitcoin Mining [chiuso]

1

2 client (chiamateli Client R e Client B) hanno segnalato agli utenti dei loro siti Web di lamentarsi del loro antivirus che rileva un trojan chiamato: CoinHive.js. Questo sembra essere un malware bitcoin mining, che avvia thread quando un utente accede al sito Web per utilizzare la potenza di elaborazione e generare bit di moneta.

Dopo molte analisi e dopo la scansione di MalwareBytes (e di altri software anti-malware) non sono stati restituiti hit virus / trojan, abbiamo finito per scaricare localmente i siti Web pubblicati e averli analizzati con Autopsy.

Il sito Web del cliente R ha restituito vari risultati. Alcuni erano falsi positivi, altri erano semplici e chiari, la sceneggiatura per le miniere di monete iniettate. Ciò che risolveva il problema era la rimozione manuale degli script dai file e l'eliminazione della cache del server: C: \ Windows \ Temp

Il sito Web del cliente B non ha restituito risultati. Ma quando si entra nel sito Web e si ispeziona l'elemento, lo script di bit coin mining appare ancora nella parte inferiore del markup html e il nostro Mcaffee lo rileva ancora (per qualche motivo lo rileva in Internet Explorer ma non in Chrome ???).

Abbiamo anche scannerizzato tutti gli altri siti Web sullo stesso server e nessun altro sito Web sembra contenere lo script: abbiamo pensato che il fatto che il sito Web del Cliente B sia stato infetto è dovuto a un altro sito Web che vi inserisce lo script.

Ho trovato 2 strumenti: Anti Web Miner e No Coin ma entrambi sembrano avere a che fare con gli utenti del client che accedono al sito web e nulla a che fare con il server di hosting.

Da dove potrebbe essere iniettato lo script? Cosa possiamo provare? Esiste qualche tipo di eseguibile o qualsiasi altra cosa possiamo cercare manualmente?

    
posta Jurgen Cuschieri 17.11.2017 - 13:45
fonte

1 risposta

2

Da dove potrebbe essere iniettato lo script? praticamente ovunque. È un server web, quindi per definizione è esposto a Internet. Potrebbe esserci un dispositivo compromesso sulla rete (sebbene tale possibilità sia bassa). Potresti avere un amministratore malintenzionato. Il primo passo è iniziare a chiudere i possibili vettori per questo.

Che cosa possiamo provare? Vorrei iniziare esaminando le autorizzazioni e riducendole. Quali account hanno i diritti su quella directory? Chi ha accesso a questi certificati?   Tutti gli account sono legati a una persona specifica? Inoltre, questo non sembra essere un virus: qualcuno o qualcosa sta alterando il codice della pagina web. Se fossi in me, su qualsiasi server con connessione a Internet avrei inserito il whitelist dell'applicazione come parte del processo di compilazione prima che permettessi di toccare l'intenet. Esistono anche prodotti che possono proteggere le directory in questione da modifiche non autorizzate e se si tenta di ripristinarle. Questa sarebbe una buona decisione da prendere anche come regola.

Se gli amministratori del sito web non hanno 2 account (uno per l'uso normale e uno per le attività amministrative sui server), dovrebbero farlo. Ho lavorato a un lavoro in cui gli amministratori del server utilizzavano i loro normali account per le attività di amministrazione del server. Uno di loro ha un worm sul suo computer e si è rapidamente trovato nei nostri server. Trascorsero un intero weekend a rimediare a quel casino. Avere un account utente con cui accedono alla propria workstation e un account amministratore che utilizzano ESCLUSIVAMENTE per accedere al server Web con. Quindi, blocca tutti gli altri account dall'accesso a quel server.

Esiste qualche tipo di eseguibile o qualsiasi altra cosa possiamo cercare manualmente? Certo che esiste, ma come si chiamerebbe? Dove lo cercheresti? Quello è un ago in un pagliaio. Potrebbe risiedere praticamente in qualsiasi posizione sulla rete. Inoltre, se un account con accesso a quel server è stato compromesso, le parti responsabili di questo potrebbero mettere il contenuto su di esso da qualsiasi parte del mondo. Cambiare le password degli amministratori potrebbe non essere una cattiva idea lì. Penserei che il server stesso sia compromesso e che un'entità stia facendo questo e non un eseguibile.

Tutto dipende da quanto strongmente vuoi reagire a questo. Sembra che non ci sia molta esperienza di cybersecurity e che tu voglia fare anche forensics. Suggerirei di impegnarsi con una società di consulenza stimabile per fare quelli e poi alcuni tester di penetrazione per scoprire dove sono i buchi. certo, costerà soldi; queste persone non costano poco. Ma possono aiutarti a risolvere questo problema per te e portare un sacco di esperienza e competenza al tavolo.

    
risposta data 17.11.2017 - 15:40
fonte

Leggi altre domande sui tag