CoinHive Bitcoin Mining [cerrado]

Navega tus respuestas
1

2 clientes (llámelos Cliente R y Cliente B) informaron a los usuarios de sus sitios web quejándose de que sus antivirus detectaban un troyano llamado: CoinHive.js. Este parece ser un malware de minería de bitcoins, que comienza a crear hilos cuando un usuario accede al sitio web para usar la potencia de procesamiento y generar monedas de bits.

Después de mucho análisis, y después de que MalwareBytes (y otro software anti-malware) no arrojó virus / troyanos, terminamos descargando los sitios web publicados localmente y escaneando con Autopsia.

El sitio web del cliente R devolvió varios hits. Algunos eran falsos positivos, otros eran directos y sencillos, el script de minería de monedas inyectadas. Lo que solucionó el problema fue eliminar manualmente los scripts de los archivos y eliminar el caché del servidor: C: \ Windows \ Temp

El sitio web del cliente B no devolvió hits. Pero al ingresar al sitio web e inspeccionar el elemento, el script de minería de monedas de bits aún parece aparecer en la parte inferior del marcado html y nuestro Mcaffee aún lo detecta (por alguna razón lo detecta en Internet Explorer pero no en Chrome). / p>

También escaneamos todos los otros sitios web en el mismo servidor y ningún otro sitio web parece contener el script: pensamos que el hecho de que el sitio web del Cliente B esté infectado se debió a que otro sitio web insertó el script en él.

Encontré 2 herramientas: Anti Web Miner y No Coin pero ambos parecen tener que ver con que los usuarios del cliente accedan al sitio web y nada que ver con el servidor de alojamiento.

¿Desde dónde se puede inyectar el script? ¿Qué podemos intentar? ¿Hay algún tipo de ejecutable o algo más que podamos buscar manualmente?

    
pregunta Jurgen Cuschieri 17.11.2017 - 13:45
fuente

1 respuesta

2

¿Desde dónde se puede inyectar el script? Casi en cualquier lugar. Es un servidor web, por lo que por definición está expuesto a internet. Puede haber un dispositivo comprometido en su red (aunque esa posibilidad es baja). Usted podría tener un administrador malicioso. El primer paso es comenzar a cerrar posibles vectores para esto.

¿Qué podemos intentar? Empezaría por ver los permisos y reducirlos. ¿Qué cuentas tienen derechos sobre ese directorio? ¿Quién tiene acceso a esas acciones?   ¿Todas las cuentas están vinculadas a una persona específica? Además, esto no parece ser un virus: alguien o algo está alterando el código de la página web. Si fuera yo, en cualquier servidor con acceso a Internet pondría la lista blanca de aplicaciones como parte del proceso de compilación antes de permitir que tocara la intenet. También hay productos que pueden proteger los directorios en cuestión de cambios no autorizados y si se intenta revertirlos. Eso, como regla general, también sería una buena decisión.

Si los administradores del sitio web no tienen 2 cuentas (una para uso normal y otra para tareas administrativas en los servidores), deberían hacerlo. Trabajé en un trabajo donde los administradores del servidor usaban sus cuentas normales para las tareas de administración del servidor. Uno de ellos tuvo un gusano en su computadora, y rápidamente encontró su camino en nuestros servidores. Pasaron un fin de semana entero para remediar ese desastre. Tenga una cuenta de usuario con la que inicien sesión en su estación de trabajo y una cuenta de administrador que SOLAMENTE usen para iniciar sesión en el servidor web. Luego, bloquee todas las demás cuentas para que no inicien sesión en ese servidor.

¿Hay algún tipo de ejecutable o algo más que podamos buscar manualmente? Seguro que sí, pero ¿cómo se llamaría? ¿Dónde lo buscarías? Eso es una aguja en un pajar. Podría residir en casi cualquier ubicación de su red. Además, si una cuenta con acceso a ese servidor ha sido comprometida, las partes responsables de esto podrían poner contenido en ella desde cualquier parte del mundo. Cambiar las contraseñas de administrador puede no ser una mala idea. Pensaría que el servidor en sí está comprometido y que una entidad está haciendo esto y no un ejecutable.

Todo esto depende de la fuerza con la que quieras reaccionar. Parece que no hay mucha experiencia de ciberseguridad allí y que usted también quiere hacer análisis forense. Yo sugeriría involucrarme con una compañía consultora de renombre para hacer eso y luego hacer algunas pruebas de penetración para averiguar dónde están los agujeros. seguro, costará dinero; estas personas no son baratas Pero pueden ayudar a resolver esto por usted y aportar mucha experiencia y conocimientos a la mesa.

    
respondido por el baldPrussian 17.11.2017 - 15:40
fuente

Lea otras preguntas en las etiquetas

Windows marca los archivos .zip de Microsoft Sysinternals como maliciosos MITM basado en la falsificación ARP