تهدید Miner.JS.CoinHive.a به چه معناست و چگونه با آن برخورد کنیم؟

مساله

  1. در لاگ‌های سامانه تشخیص و جلوگیری نفوذ پادویش (IPS) تهدیدی با عنوان Miner.JS.CoinHive.a یا CoinHive.MinerScript مشاهده می‌شود. معنی این تشخیص چیست و چگونه باید با آن برخورد نمایم؟
  2. پادویش من حمله‌ای را از آدرس DNS سرور و روی پورت 53 (یا سرور پراکسی روی پورت مربوطه) تشخیص داده است. نام تهدید Miner.JS.CoinHive.a است.

مفهوم پیام

مرورگر شما به سایتی متصل شده است که حاوی اسکریپت استخراج رمزارز بوده است.

امروزه برخی سایت‌ها (حتی سایت‌های فارسی، خبرگزاری‌ها و …) بدون اجازه کاربران، اسکریپت‌های استخراج رمزارزهای دیجیتال را روی صفحات خود قرار می‌دهند، و در نتیجه بدون اینکه شما اطلاع داشته باشید، هنگام مشاهده سایت سی‌پی‌یوی سیستم یا گوشی شما درگیر شده و برای مدیر سایت درآمد کسب می‌کند. همچنین برخی حملات می‌توانند باعث آلوده شدن یک سایت به این اسکریپت‌ها یا روش‌های دیگری شوند که در ادامه شرح داده می‌شود.

پادویش این نوع اسکریپت‌ها را تشخیص داده و از بارگزاری آن روی سیستم شما جلوگیری می‌کند. تشخیص Miner.JS.CoinHive.a یکی از همین انواع تشخیص است که توسط سامانه جلوگیری از نفوذ (Intrusion Prevention System) پادویش تشخیص و خنثی می‌شود. این مولفه وظیفه محافظت از سیستم شما در برابر حملات شبکه‌ای را برعهده دارد.

برخورد با این پیام

[alert type=”info” icon-size=”big”]به طور کلی این پیام نیاز به پیگیری خاصی از طرف کاربر ندارد[/alert]

توجه کنید که در هنگام مواجه با این پیام، سه حالت کلی امکان‌پذیر است:

  1. سایت هک شده و بدون اطلاع مدیر سایت اسکریپت روی آن قرار گرفته است – در سمت کلاینت شما نیازی به کاری نیست. (می‌توانید به مدیر سایت آلوده اطلاع دهید).
  2. مدیر سایت تعمدا اسکریپت رمزارز را روی صفحات خود قرار داده است – در سمت کلاینت شما نیازی به کاری نیست. (می‌توانید به مدیر سایت مزبور اطلاع دهید).
  3. یکی از تجهیزات شبکه در میانه راه، اسکریپت را در سایت‌ها درج می‌کند – این یک مساله جدی است. اگر روتر میکروتیک در شبکه خود دارید حتما آن را بررسی کنید.

ضمنا خوب است به خاطر داشته باشید که این پیام یک تهدید یا حمله کلاسیک نیست و سیستم شما در خطر نیست. پادویش جلوی دریافت و اجرای اسکریپت استخراج را نیز گرفته و در نتیجه سی‌پی‌یوی سیستم شما درگیر نیست. بنابراین – به جز حالت خاص سوم که تجهیز شبکه شما آلوده است – نیازی به کار دیگری ندارید.

[alert type=”info” icon-size=”big”]توجه: آدرس IP که در لاگ سامانه IPS پادویش ثبت می‌شود، اصولا IP سرور DNS یا سرور پراکسی سازمان شما است. این سرورها آلوده نبوده و صرفا سیستم کلاینت (به علت مشاهده یک سایت) برای دریافت اسکریپت به آنها متصل شده است[/alert]

[alert type=”warning” icon-size=”big”]هشدار به مدیران شبکه: اگر از تجهیزات میکروتیک MikroTik در شبکه خود استفاده کرده‌اید بخش بعدی را بخوانید.[/alert]

تجهیزات میکروتیک و حمله استخراج رمزارز

این بخش برای مدیران شبکه نوشته شده است.

تجهیزات میکروتیک با شماره نسخه سیستم عامل ۶.۴۲ و پایین‌تر، یک آسیب‌پذیری خطرناک دارند (CVE-2018-14847) که به هر کسی که بتواند به پورت کنترل دستگاه متصل شود، دسترسی ادمین جهت تغییر تنظیمات دستگاه را می‌دهد.

در حال حاضر حملاتی در دنیا (و در ایران) در جریان است که با استفاده از این آسیب‌پذیری، کنترل دستگاه میکروتیک را در اختیار می‌گیرد و از این پس، دستگاه شما در آدرس تمام وب‌سایت‌هایی که کاربران مشاهده می‌کنند اسکریپت استخراج رمزارز را تزریق می‌کند.

سیستم جلوگیری از نفوذ پادویش، جلوی اجرای اسکریپت استخراج رمزارز بر روی کلاینت را می‌گیرد. اما کنترل میکروتیک شما می‌تواند تبعات جدی‌تری به دنبال داشته و باعث اختلال یا هک کامل شبکه شما شود و باید هرچه سریعتر برطرف گردد:

  1. تمام تجهیزات میکروتیک را بررسی و آنها را به آخرین نسخه ارتقا دهید – ضمنا بهتر است قبل از ارتقا حتما از تنظیمات بکاپ بگیرید.
  2. فایروال‌های شبکه و تنظیمات میکروتیک را تصحیح کنید – پورت کنترل تجهیزات شبکه شما نباید برای عموم رایانه‌ها قابل دسترسی باشند. با تعریف vlan مناسب، دسترسی را به صرف سیستم‌های مدیریتی و ادمین محدود کنید.