16 mai 2018

Avez-vous déjà miné à l’insu de votre plein gré ? Il s’agit de la mise en pratique d’un dicton bien connu : « Les petits ruisseaux font les grandes rivières ».

La flambée du cour du Bitcoin, et la mise en avant médiatique qui va avec ont attisé des convoitises plus ou moins légales. Il y a 10 ans, des geeks minaient 1 bitcoin sur leur PlayStation en quelques dizaines d’heures. Mauvaise nouvelle, les mineurs du dimanche depuis leur canapé sont arrivés trop tard. (Voir Cf. le minage facile, source Kaspersky)

Par contre si on ne paie pas l’électricité, ni les ordinateurs, ce n’est plus pareil. Les étudiants débrouillards utilisent les ressources de l’université en mettant en place des petites usines de minages sur l’ensemble des ordinateurs mis à disposition des étudiants.

Nous allons forcement entendre parler d’usines comparables au sein de certaines entreprises dans les mois à venir.

Il y a un deuxième cas, les mineurs qui ne se rendent compte de rien (à part le ventilo qui siffle ou le PC qui rame).

Une utilisation célèbre est celle de Starbuck en Argentine : https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptojacking-gaining-traction-as-starbucks-and-streaming-users-targeted

Fabriquer de la crypto-monnaie à partir de Javascript :

Grâce à CryptoNight ou Coinhive, on peut fabriquer de la monnaie à partir d’un bout de javascript (https://coinhive.com/).

On parle de cryptojacking : l’utilisateur va sur le site, le javascript s’exécute sur son poste et mine de la monnaie. À noter que le script peut être déposé via un XSS si le site n’est pas protégé par un WAF mais c’est une autre histoire..

L’argument commercial de Coinhive est : « plus de besoin de la pub sur votre site, faites miner vos visiteurs».

Comment contrer le CryptoJacking ?

Donc ça se répand comme un feu de paille et c’est là que nous pouvons intervenir 😊avec notamment le filtrage URL sur les Palo Alto.

  1. On active l’antispyware en block medium (alert par défaut) sur les flux web sortant (voici la signature : https://threatvault.paloaltonetworks.com/?query=11850&type=)
  2. On peut re-catégoriser Coinhive.com en block car pour l’URL filtering c’est dans la catégorie Financial Services
  3. Ajouter en block la liste dynamique vers cette URL : https://zerodot1.github.io/CoinBlockerLists/list.txt (https://zerodot1.github.io/CoinBlockerLists/)

A noter, pour les points 2 et 3 que l’inspection SSL est nécessaire.

Pour vérifier que ça bloque bien, il suffit de cliquer sur le bouton start mining sur Coinhive 😊.

Plus d’info :

Partager :

Auteurs