• Как защитить ваш сайт от скрытого майнинга и не дать себя использовать

Как защитить ваш сайт от скрытого майнинга и не дать себя использовать

Мы постараемся ответить на эти вопросы максимально просто.

Введение

Первый вопрос, который кажется нам наиболее уместным - а как это получилось? Как преступникам удалось добраться до серьезных сайтов правительств? Учтем в качестве детали, что владельцы ресурсов, само собой, не ставили никаких скриптов для майнинга криптовалюты на своих сайтах. Но по чьей вине это все же произошло? Оказалось, все дело в небольшом плагине Wordpress Browsealoud, который использовался более чем на четырех тысячах сайтов и за 4 часа распространился в качестве вредоносной копии.

Подробный механизм атаки

Криптоджекинг

Сайты, подвергшиеся атаке криптоджекинга, имели одну общую особенность: все они загрузили установочный файл с неофициального ресурса. Поскольку скрипт был загружен из непроверенного источника, сайты стали уязвимы к инъекционным типам атаки. Если файл jQuery был загружен напрямую из сети CDN злоумышленников, сайт моментально подвергался нападению эксплойтов. 

Киберпреступникам такая ситуация на руку, поскольку в этом случае они могут атаковать постоянно обновляющиеся библиотеки. И вы не сможете быть уверенными на сто процентов, что спустя время какой-то другой провайдер не будет использован как инструмент для инъекций. Именно зараженный плагин заставил сайты правительств заниматься майнингом. 

Что же делать 

Есть несколько вариантов защиты от криптоджекинга:

  • Установка атрибутов SRI к сценарию, загружающему скрипты извне.
  • Добавление специального защитного механизма CSP, позволяющего защититься от внедрения содержимого на сайт.

Правда, эти подходы имеют ряд минусов. Скрипт зависимости должен постоянно обновляться, к тому же тот же CSP, например, может только запретить загрузку JavaScript из внешнего источника, но он не проверяет содержимое сценариев. Поэтому пытаться использовать белые списки сайтов в качестве основы - сомнительная идея. Опытный хакер наверняка знает лазейки в этом механизме. Например, он установит источник инъекции на одном из сайтов в белом списке и история повторится. 

Решение постоянным сканированием

Защита сайта от майнинга

Если у вас нет стопроцентного варианта для предотвращения вредоносных инъекций на сайт, вашим выходом может стать мониторинг в реальном времени. Это позволяет среагировать сразу же при обнаружении угрозы. Если вы контролируете среду JavaScript и DOM, сайт сразу же проинформирует вас с помощью специальной технологии webhook. 

Подобная технология может свободно противостоять даже угрозам нулевого дня. Аномалия будет обнаружена, команда безопасников будет быстро уведомлена о случившемся и инъекционный код будет удален. При таком подходе вы даже извлечете дополнительную выгоду из этой ситуации - сразу будет видно, куда была произведена атака и вы сможете закрыть бреши в защите. 

Ранее было сказано, что этот подход позволит противостоять даже угрозам нулевого дня. Это было доказано экспериментальным путем: на тестируемый сайт внедрялся Embedded Agent, мониторивший DOM. Целью была демонстрация противостояния подобной кибер-атаке. Подробный отчет о результатах вы можете увидеть в видео внизу статьи. 

Кратко о выводах

Защита сайта

Самыми эффективными решениями для предотвращения хакерских атак стали именно те, где контроль проходил в режиме реального времени. Это крайне эффективный инструмент в сравнении с теми же SRI и CSP, которые легче обойти. Рапорт об атаке происходит сразу после обнаружения угрозы сообщением на сервер. Это дает вам самое главное преимущество - время. 

Поскольку сегодня криптовалюты приобретают все большее значение и популярность, кибернетические преступники тоже сменили “род деятельности” - их атаки все больше приносят не явный вред, а заставляют пользовательские компьютеры добывать для злоумышленников криптовалюту. Пользователь становится “рабом”, добывающим деньги для хакера. 

Для наглядности можно привести пример с подобного рода атаками на всем известные проекты типа The Pirate Bay и Showtime. Эти происшествия говорят нам о том, что криптоджекинг очень выгоден для преступников. Особенно привлекает мошенников использование сторонних приложений и дополнений, которые используют популярные сайты - это позволяет нанести удар одновременно по большому количеству ресурсов. 

По мнению аналитиков, изобретательность и количество подобного рода атак будут только расти. В этот раз злоумышленники при внедрении кода сосредоточились исключительно на майнинге средств за счет другого человека. Но они могут также начать собирать конфиденциальные данные. Значит, мы вполне можем ожидать в качестве следующего шага не только использование компьютера пользователя для майнинга, но и сбор информации о кредитных картах, которыми пользовались посетители.

Защита от киберугрозы такого уровня во многом будет зависеть от уровня предварительной подготовки владельцев сайтов. Поэтому будьте всегда начеку, оценивайте все возможные последствия и используйте современные методики для противостояния.

1 1 1 1 1 Rating 0.00 (0 Votes)


Глубокая сковорода Ampovar, которая умеет готовить всё

23 ноября 2017 | Интересное | Просмотров: 201

В статье вы узнаете о преимуществах чудо-сковороды, а также что в ней готовить и как ухаживать за приспособлением.

Обзор и технические характеристики Volvo S60

04 июня 2015 | Транспорт | Просмотров: 55

Новый Volvo S60 какой он? Компактный и стильный, комфортный и быстрый, умный и безопасный. Прочтите обо всех его новшествах в этой обзорной статье.

Как выбрать затирку для швов плитки в ванной комнате

28 ноября 2015 | Строительство | Просмотров: 150

Финальным этапом ремонта в ванной комнате является затирка швов. От цвета и качества материала затирки зависит результат всей проделанной работы в целом. Давайте разберемся в нюансах выбора затирки.

Как быстро похудеть к лету

13 апреля 2018 | Интересное | Просмотров: 83

Похудеть к летнему отпуску желает любая девушка, испытывающая неловкость при необходимости показаться публично без верхней одежды – в бассейне и особенно на пляже.

Психология любви: состоявшаяся семья или старая любовь?

05 июня 2018 | Интересное | Просмотров: 136

Самое сложное в жизни – это человеческие отношения, особенно между мужчиной и женщиной. Многие из нас попадают в ситуацию, так точно сформулированную И.Тальковым «несвоевременность – вечная драма, где...

Как выбрать электрический триммер или газонокосилку для травы?

18 июня 2015 | Наука и техника | Просмотров: 236

Обзор технических характеристик электрических триммеров и газонокосилок поможет лучше ориентироваться среди разнообразия моделей и выбрать подходящее для ухода за газоном устройство.

Что такое финский массаж

05 июня 2018 | Интересное | Просмотров: 89

Массаж как метод лечения использовался многими народами много веков назад. Не теряет своей популярности он и сегодня. Одной из его разновидностей выступает финский массаж, отличительной...

Как выбрать мясорубку электрическую для дома

28 сентября 2015 | Наука и техника | Просмотров: 407

Многие уже забыли, что такое домашние пельмени и насколько они вкуснее покупных. Хотите вспомнить? Прочтите, тогда о том, как выбрать хорошую мясорубку, которая поможет их очень быстро приготовить.

Выбираем варочную поверхность

18 мая 2018 | Наука и техника | Просмотров: 36

Варочная поверхность – функциональная и современная альтернатива обычной плите с духовкой. Она может быть газовой, электрической и индукционной – об особенностях и плюсах-минусах каждого варианта читайте в данном обзоре.

Как бороться с привычкой тратить деньги

07 июня 2018 | Интересное | Просмотров: 81

У многих людей часто возникает искушение прикупить себе какую-нибудь вещь, стоит только увидеть объявление с надписью «акция» или «скидки». Все эти маркетинговые уловки заставляют нас тратить деньги на то...

Модные тенденции в женской одежде 2018

05 июня 2018 | Интересное | Просмотров: 49

Обновляя гардероб, не стоит забывать об интересных новинках, продемонстрированных на модных показах. Что же именитые дизайнеры предлагают модницам в 2018 году?

Почему батарейки нельзя выбрасывать

18 мая 2018 | Интересное | Просмотров: 87

Батарейками пользуется каждый современный человек. Они многофункциональны, долговечны, удобны в применении, доступно стоят, но со временем вырабатываются и нуждаются в правильной утилизации.

Как побороть страхи и решиться на смену профессии в зрелом возрасте

07 июня 2018 | Интересное | Просмотров: 69

Многим людям не нравится их работа, так как они чувствуют, что теряют много времени на ней и убивают свое здоровье. Однако не многим удается успешно сменить работу. Некоторые люди умудряются...

Как живет «Умный дом»

23 апреля 2018 | Наука и техника | Просмотров: 61

Мир высоких технологий стал неотъемлемой частью нашей повседневной жизни.

Как можно заделать дыру в стене

06 апреля 2018 | Строительство | Просмотров: 113

Сверлили отверстие в стене и не рассчитав сил пробурили стену насквозь? Не беда, её можно с легкостью заделать. Узнайте, как поступить в этом случае, и не напортачить еще больше.

Кратко обо всём
© Информационный портал "Кратко обо всём", 2015-2018.
Копирование материалов запрещено.