تحقيق وتحليل تقنى: جريدة الاهرام النسخة الانجليزية تقوم بإستخدام اجهزة الزوار لتعدين عملات رقمية بتكنيك مختلف وجديد!

موضة جديدة اتبعتها المواقع حديثا وهيا الكسب من خلال تعدين العملات الرقمية بدلا من استخدام اعلانات Google Ads او اى خدمة اعلانات اخرى على امل تحقيق مكسب اسرع، فى التحقيق دا هنتكلم عن جريدة “الاهرام اونلاين” وتعدين العملات الرقمية، واحد من متابعينا بتاريخ ٩ نوفمبر ٢٠١٨ بعتلنا على الصفحة الرسمية ل Seekurity ان موقع “جريدة الاهرام اونلاين النسخة الانجليزية” فيه مشكله وانه كل ما بيدخله اللابتوب بتاعه بيبدأ يبقى بطئ ويسخن، اول ما شوفت الرسالة وبدون حتى اى تفكير عرفت ان الموقع بيقوم بعمل تعدين لعملة رقمية ما.

بعد التحقيق ساعتين فى الموضوع لقيت ان الموقع بيقوم بتعدين عملة اليكترونية اسمها Monero بالمناسبة دا ال siteKey او المفتاح الخاص بموقع الاهرام اونلاين على موقع Coinhive اللى بيقوم بيه بالتعدين: 51VKBjMOmLw1zllBLFhLNcxXma2z75T2 ودا فيديو الاثبات: https://seekurity.com/services/goto/4m ومش دا المهم لان دى اخبار اعتدنا عليها واتكلمت عنها قبل كدا كتير (مره اليوم السابع والسبب كان لحد دلوقتى غير معروف اما الموقع تم اختراقه واستخدامه فى التعدين او ان اصحابه هما اللى واخدين القرار دا لينك اليوم السابع على فيسبوك) وفى مره تانيه اكتشفنا فى Seekurity ان الموقع الرسمى لشركة D-Link الخاص بالشرق الاوسط بيقوم بعمل نفس الموضوع (بس فى المره دى التحقيق بتاعنا اثبت ان الموقع تم اختراقه بواسطة اشخاص مالكى لنطاقات او domains اسرائيلية التحقيق دا هنا: https://seekurity.com/services/goto/4j)، الجديد فى موضوع “الاهرام اونلاين” ان الموقع بشكل ما بيقوم بتخطى خطوات التأكيد اللى عملها موقع Coinhive مؤخرا علشان محدش يستغل الموقع استغلال سئ ويقوم بعمل تعدين بشكل اوتوماتيكى بدون علم زوار الموقع، الخاصية دى اسمها OPT-IN الخلاصه ان الخاصية دى بتقوم بسؤال المستخدم ان الموقع الفلانى عايز يستخدم معالج الجهاز الخاص بيك فى عمل تعدين موافق ولا لا؟ والزائر ساعتها هوا اللى يقرر ونشرنا قبل كدا تكنيك ازاى المواقع تقدر تعمل bypass او تخطى للتنكيك دا فى خداع المستخدم عن طريق ال Clickjacking ووضحنا ان دا ممكن يحصل بالمعلومات والفيديو وهتلاقوا التدوينه هنا: https://seekurity.com/services/goto/40
 
نرجع تانى للجزئية المهمه، موقع الاهرام اونلاين النسخة الانجليزية بيستخدم سكريبت بيقوم بتخطى كل حمايات coinhive عن طريق WebAssembly (التحقيق الخاص بالكود بالكامل لسه مكملناهوش) ودى للى ميعرفهاش حاجه كدا بيفهمها المتصفح زيها زى Java Script بس الاختلاف انها اسرع واقوى من الجافا سكريبت نفسها (بالرغم من ان تنفيذها بيتم عن طريق الجافا سكريبت نفسها) ومدعمة من قبل Chrome و Firefox، الاسكربت منشور بالفعل من ٨ شهور هتلاقوه فى اللينك دا:https://seekurity.com/services/goto/4k ودا الاسكريبت الموجود فى موقع الاهرام اونلاين النسخة الانجليزية: https://seekurity.com/services/goto/4k (قارنوا الاتنين سوا هتلاقوهم متشابهين لحد كبير)، الاهرام اونلاين النسخة الانجليزية اما هتطلع تقول ان موقعها مخترق وان الكود المحطوط دا اتحط بواسطة المخترقين (استبعد الموضوع دا لان كلمة اختراق فى الوقت اللى احنا فيه دلوقتى بتضر بالسمعه اكتر من اى شئ تانى) السبب التانى ودا الشئ المتأكد منه انهم بقرار منهم عملوا دا حتى لو كدبوا وقالوا ان الشركة المطوره هيا المسؤولة فى الاخر المسؤولية القانونية تقع على مالكى الموقع!
 
الكود المحطوط فى موقع الاهرام اونلاين مش بيستخدم اى تكنيك من اللى احنا اكتشفناها قبل كدا فى التدوينه اللى كتبناها وزى ما قولتلكم دا سكربت موجود من ٨ شهور بيتخطى خاصية ال OPT-IN الخاصة ب Coinhive.
 
ازاى اكتشف ان الموقع اللى انا هدخله بيقوم بالتعدين؟
١- لو انت على نظام التشغيل ويندوز قوم بفتح ال Task Manager ومنها الى تاب Processes ورتب العمليات المفتوحه على حسب استهلاك البروسيسور، العملية اللى هتلاقيها بتاخد نسبة معالجة كبيره دى عملية مشكوك فيها وفى الغالب هتكون المتصفح بتاعك وفى الغالب هيكون بيعدن عملات رقمية.
٢- لو انت على نظام التشغيل macOS قوم بفتح ال Activity Monitor ونفذ نفس الخطوات الخاصة بنظام التشغيل ويندوز.
٣- لو انت على لينيكس هتبقى عارف انت هتعمل ايه!
 
ازاى احمى نفسى؟
فى التدوينة اللى كتبناها قولنا انك ممكن تستخدم اضافات خاصة بالمتصفحات اسمها (AdBlock و NoMiner و minerBlock و No Coin وغيرها) بس للاسف احن طورنا تكنيك جديد والتكنيك دا قدرنا بيه نتخطى اضافات minerBlock و No Coin وهما شغالين سوا هنا تقدروا تشوفوا الفيديو الخاص بالتكنيك هنا: https://seekurity.com/services/goto/4i لو عايز نصيحتنا، علشان تقدر تحمى نفسك احنا فى Seekurity بنوصى بإستخدام الاضافات دى كلها فى نفس الوقت علشان لو فى حاجه هربت من واحده منهم التانيه تقدر تمسكها وجهازك يكون فى امان.
 
ملاحظة اخيرة: موقع جريدة الاهرام سواء النسخة العربية او الانجليزية شغالين على HTTP بدون اى شهادة امنية تحمى الزوار ودا شئ تانى مختلف معناه ان اى حد من الزوار على شبكة ومتواجد معاه مهاجم يقدر يحقن الموقع بأى اكواد خبيثة (فى مثالنا هنا التعدين) وبالتالى اللى هيظهر للزائر ان الموقع بيعدن او بيقوم بعمل شئ خبيث بس فى الحقيقه دا مش صحيح لان الموقع محقون بواسطة مهاجمين على نفس الشبكة مع زوار الموقع وبالتالى سمعة الموقع هتتضر لسبب بسيط وهو عدم وجود نسخة مؤمنه over SSL من الموقع بتشتغل ب HTTPS.
 
دا لينك للى حابب يقرا عن ال Crypto Miners وعلاقتها بال WebAssembly: https://seekurity.com/services/goto/4l
 دا مرجع ممتاز جدا للى مش عارفين يعنى ايه تعدين او اى شئ مرتبط بيه:
https://seekurity.com/services/goto/4q
.

 

 

.
.
.
.
.

الجزء دا ملهوش علاقه بالموضوع وتقدر تتجاهله: بعيداً عن محتوى البوست، شركات عربية وغير عربية كتير اتعرضت للأختراق والابتزاز وياما شركات البزنس بتاعها باظ بسبب كل دا ف سواء كنت شركة كبيره، متوسطة، او صغيرة او حتى ستارت اب احنا فى Seekurity بواقع خبرتنا فى امن المعلومات فى السنين اللى فاتت ومع كل اللى شفناه من ثغرات امنية وتسريبات وغيرها وغيرها بنقدر نقدملك خدمات واستشارات امنية متكاملة زى:

Penetration testing (Web, Mobile and Desktop Apps), Physical Penetration Testing, Source Code Auditing, Content Management Systems Security Testing and Hardening, Vulnerability Assessments, Security Researches, Malware analysis, Data Security (Data privacy and compliance), Incident Management, Phishing analysis, Anti-Fraud Solutions, Risk Management, OSINT (Open Source Intelligence), Onsite/Remote Corporate/Individual Social Engineering engagements, Security Monitoring, Cyber Security and VoIP Security and Solutions

تقدر تطلب اى خدمة من خلال: Info@Seekurity.com تابعنى على تويتر https://twitter.com/symbiansymoh وتابع Seekurity بردو هناك https://twitter.com/seekurity ولو عندك اى اسئلة متتأخرش فى سؤالها.

(Visited 1,626 times, 1 visits today)
Share