当前位置:安全资讯 >> 全文

流行脚本被黑后 英美政府站点被注入恶意挖矿机

发布时间:2018-2-12 18:55 标签: 政府,CPU,密币,挖矿
分享到 0

某个流行可访问脚本遭攻陷后,数千个站点被注入浏览器内门罗币挖矿机。4275个站点受影响,其中包括政府网站如 uscorts.govico.org.uk 以及 manchester.gov.uk

信息安全咨询师 Scott Helme 最初注意到上述情况,他当时发现英国政府网站 ico.org.uk 正在利用 Coinhive 浏览器内挖矿(加密劫持)脚本,从而导致网站的所有访客使用自己的 CPU 挖掘门罗币。

Helme 进一步调查后发现该站点并非第一个开始注入 Coinhive 挖矿机的站点,多个国家的其它政府网站也受影响如 uscourts.govgmc-uk.govnhsinform.scotmanchester.gov.uk等。

所有这些站点存在的一个共通点是,他们都使用了源自 TextHelp.com 的一个流行的文本转换语音的可访问脚本 BrowseAloudHelme 查看了这个 BrowseAloud 脚本后,他发现其中含有将 Coinhive 挖矿机注入所有站点中的混淆代码。

被解码时,这个脚本注入 Coinhive 加密劫持脚本,运行时消耗40% CPU,并且为 Coinhive 账户 1GdQGpY1pivrGlVHSp5P2IIr9cyTzzXq挖矿。

由于了解到注入挖矿机的是一个被攻陷的 BrowseAloud 脚本,于是 Helme 快速追踪到遭影响的 4275 个站点。

TextHelp 网站的首席技术官获知脚本遭攻陷后,发布声明称脚本已被拿下,并且在调查启动后才会再次启用。

目前该站点尚未作出任何回应。不过该站点在最新发出的一篇文章中表示,攻击者攻陷了 BrowseAloud 脚本,但该公司的其它服务并未受影响。

结合使用 CSP SRI 免遭此类攻击

Helme 表示,站点保护自己免受此类攻击的一个好办法就是结合使用 CSP SRI

SRI(子资源完整性)即当网站所有人为网站正在下载的一个特定脚本指定了一个哈希。在浏览器加载脚本前,它检查该脚本的哈希并且与网站上所列的哈希作对比。如果匹配,则该脚本会得以加载。如果脚本遭修改,那么加载脚本时会遭拦截。

如果使用 CSP (内容安全策略),那么可走得更远一步,强制浏览器要求所有的脚本拥有与它们匹配的一个 SRI 哈希。如果脚本并不具备一个指定哈希,那么T浏览器将阻止它进行下载。

这种方法的唯一不足之处在于,它可能增加网站所有人的管理任务,因为他们需要持续追踪自己所使用的外部脚本以及脚本遭修改的记录。如果网站使用的是第三方脚本而且被修改过,那么就不得不确保针对每个新发布的更新,相应地更新 SRI

虽然有人可能不愿意做这些确保脚本安全的额外工作,但记住一点:虽然安全性很难做,而挽回受损名誉更难。

英国国家网络安全中心也开始调查此事件。

这并非被黑站点工具首次被用于传播加密劫持脚本的案例。201711月,攻击者攻陷了 LiveHelpNow 直播聊天工具,在1500多个站点上部署了 Coinhive

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/u-s-and-uk-govt-sites-injected-with-miners-after-popular-script-was-hacked/b
参与讨论,请先 登录 | 注册

用户评论