Coinmining: hoe voorkom je CPU-misbruik?

Coinmining: hoe voorkom je CPU-misbruik?

DearBytesBlogCoinmining: hoe voorkom je CPU-misbruik?

woensdag 13 december 2017

Vandaag al wat cryptomunten gegenereerd? Het is niet ondenkbaar dat cybercriminelen op dit moment jouw computer misbruiken om bijvoorbeeld monero te ‘minen’. Bij DearBytes zien we dat de praktijk van illegale en ongewenste ‘coinmining’ snel aan populariteit wint.

Wat is coinmining?

Het begon allemaal met Coinhive, een bedrijfje dat een ‘in-browser cryptominer’ aan de man brengt. Website-eigenaren kunnen deze JavaScripts-miner in hun website embedden. Het scriptje zorgt ervoor dat de processor van de bezoeker wordt gebruikt om de cryptovaluta monero te genereren. Deze cryptomunt is ontworpen voor een gedistribueerde mining op pc’s. De website-eigenaren krijgen van Coinhive een (klein) deel van de opbrengst, waarmee ze de advertentie-inkomsten kunnen aanvullen.

Met name aanbieders van pornografische content lijken gevoelig voor deze financiële prikkel. De JavaScript-miners van Coinhive zijn inmiddels op meerdere pornowebsites aangetroffen. Maar bijvoorbeeld ook talloze webshops zijn – bewust of onbewust – met Coinhive in zee gegaan. De bezoeker is daarvan niet altijd op de hoogte, maar krijgt tijdens het websitebezoek wel te maken met een verhoogd CPU-gebruik. De miner stopt echter direct als de bezoeker de pagina verlaat of sluit.

Cybercriminelen hebben allerlei trucjes bedacht om dit te voorkomen. We noemen hier twee manieren:

1. Cryptojacking

Zo zien we de afgelopen weken een sterke toename in het aantal kwaadaardige scripts die ervoor zorgen dat het ‘delven’ doorgaat in een apart klein schermpje dat zichzelf handig verstopt. De ‘pop-under’ verschuilt zich bijvoorbeeld achter de Windows-klok. De gebruiker denkt dat alle browservensters zijn gesloten, maar ongemerkt gaat het delven van monero gewoon door. Deze vorm van misbruik noemen we ook wel cryptojacking.

2. Lokale mining

Een vorm van coinmining die we minder vaak zien, is met behulp van een ‘lokale miner’. Dit is meestal een binair bestand dat wordt uitgevoerd op het systeem van het slachtoffer. De mining vindt dus plaats op een geïnfecteerde machine, zonder tussenkomst van een JavaScript of ‘browser-man-in-the-middle’. De miningprestaties zijn hierdoor beter, maar toegang verkrijgen tot de CPU is wel complexer.

Hoe herken ik coinmining?

Voor de gemiddelde gebruiker kan het lastig zijn om coinmining op het spoor te komen. De cryptojacker doet er alles aan om ongestoord te minen, en zorgt er bijvoorbeeld voor dat het CPU-gebruik niet helemaal oploopt tot 100 procent. Een ‘blazende’ laptop die niet vooruit is te branden, wekt immers argwaan. De pop-under passeert ook moeiteloos adblockers.

Wie iets dieper in zijn systeem duikt, komt het misbruik echter al snel op het spoor. Dit zijn onze tips:

1. Pop-under

De activiteit van een pop-under is te zien in de Windows-taakbeheer.

2. Oplichtende browsericoon

Ook een ‘opgelicht’ browsericoontje in de taakbalk terwijl op het oog alle browserschermen zijn gesloten, is natuurlijk verdacht.

3. Hoog CPU-gebruik

Hetzelfde geldt voor een constant hoog CPU-gebruik.

4. Bestandsnamen

De door de aanvallers gebruikte filenamen laten ook weinig aan de verbeelding over. Dat geldt zowel voor cryptojacking als voor de lokale miner. In veel gevallen hebben cryptojackers Coinhive-code gekopieerd en nog niet eens de moeite genomen om de filenamen aan te passen.

Wat doe ik tegen coinmining?

In het geval van cryptojacking zou het moeten volstaan om via het taakbeheer (alsnog) alle browservensters te sluiten, inclusief een eventuele pop-under. Controleer daarna nog wel even de CPU-belasting, om er zeker van te zijn dat de miningactiviteiten zijn gestopt.

Een lokale miner kan meerdere oorzaken hebben, zoals een exploitkit of een infectie met behulp van een trojan of een downloader. In die gevallen zit er niets anders op dan het volgen van de standaardprocedure voor het verwijderen van infecties.

Hulp nodig bij het stoppen van ongewenste coinmining? Neem dan contact met ons op.