Verstecktes Coin Mining durch Javascript im Browser (z.B. coin hive)
 

:hallo:
es gab vor kurzer Zeit das Phänomen, dass thepiratesbay heimlich auf dem PC Coins minen lässt, während der Tab geöffnet ist.
The Pirate Bay experimentiert heimlich mit Monero Mining

Es hat nicht lange auf sich warten lassen und diverse Websites, auch kommerzielle, sind auf den Zug aufgesprungen und wenden dieses Verfahren an. Hier ist eine Liste, wo das Skript bereits zumindest zeitweise gesehen wurde:
Github PaulSec coin-hive.txt
Wie viele dieser Seiten dabei Opfer eines Hacks sind, lässt sich schwer abschätzen.

Was bedeutet das überhaupt?
Seit einigen Jahren gibt es das Phänomen der Cryptowährungen (crypto currencies). Die mit Abstand bekannteste unter ihnen ist Bitcoin. Monero, ZCoin, ZCash oder Ethereum sind weitere. Der Wert von Bitcoin hat sich in den vergangenen Jahren von weniger Euro auf momentan über 5000€ pro Bitcoin entwickelt (Oktober 2017).
Solche Währungen gewinnt (=erzeugt) man technisch gesehen dadurch, indem man Rechenleistung verwendet. Dies bezeichnet man als schürfen bzw. minen einer Währung. Wen das mehr interessiert, findet im Internet Millionen anderer Artikel genau zu diesem Thema.

Manche Leute sind nun auf die Idee gekommen, die Rechenleistung fremder privater Benutzer mit ihren privaten PCs genau dafür zu verwenden. Dies gibt es in Form von Trojanern bereits seit langer Zeit. Dass dies jetzt jedoch direkt im Browser, während man eine einfache Website besucht, passiert, ist recht neu.

===== Das Verhalten =====
Um von diesem verdeckten Coinmining gebraucht zu machen, muss der Anbeiter der Website ein spezielles Skript (wie beispielsweise von coin hive) einbinden. Dieses Skript wird nur in deinem Browser ausgeführt und tut auch eigentlich nichts direkt schädliches, außer deine PC Ressourcen zu missbrauchen. Dies kann deinen PC stark verlangsamen und braucht außerdem Strom und kann die Haltbarkeit deiner PC Komponenten beeinträchtigen.

Das ganze sieht dann in etwa so aus und ist auch wirklich merkbar und kann jeder selber überprüfen (Stand 09.10.2017):
Wenk, Schulz & Partner - Startseite
http://coellner-bar.de
http://www.dubaitalentmagazine.com (Stand 30.10.2017)

Viele Websites besitzen zumindest den Anstand, die CPU Last auf 20-30% zu drosseln, während andere nehmen, was geht:
https://i.imgur.com/P0tIUP6.jpg

Man erkennt, dass die CPU des PCs stark beansprucht wird. Durch die "genutzte" Rechnerleistung wurde sog. "Cryptowährung" geschrüft, wodurch der Betreiber der Seite Geld verdienen kann.


===== Was muss ich tun? =====

Möglichkeit 1:
Die meisten Hersteller von Anti-Viren bzw. Anti-Malware blockieren bereits standardmäßig dieses unerwünschte Verhalten der Websites. Dies macht sich häufig in einer Fundmeldung bemerktbar, beispielsweise:
Diverse Produkte wie beispielsweise von Malwarebytes Premium, Avira oder Kaspersky zählen dazu.


Möglichkeit 2:
Wenn man über den Windows Defender oder Windows Security Essentials verfügt, kann man sich auch einfach schützen:

Wenn man über einen AdBlock (wie beispielsweise AdBlock Plus, AdBlock, uBlock) verfügt, muss man nur die NoCoin Liste den Abos hinzufügen.
Diese findet man hier:
https://adblockplus.org/de/subscriptions#type_other

Direkter Link zu github:
Github NoCoin

Es gibt auch eine weitere Liste anderer Addons, die das versprechen, faktisch aber nichts anderes sind, als ein Ablocker mit nur genau dieser einen Liste.


Möglichkeit 3:
Addons, welche externe Skripe auf einer Website pauschal untersagen wie beispielsweise NoScript, ScriptSafe, uMatrix sollten dies standardmäßig verhindern.


Andere Möglichkeit:
Da es derzeit nur einen einzigen namhaften Anbieter für solche Dienste zu geben scheint, hilft es auch, die Domains im Host-File des Routers oder PCs einzutragen:
Da sich dies sehr schnell ändern kann und durch eine einfachste Änderung von Seiten der Anbieter dieser Schutz umgangen werden kann, wird davon ausdrücklich abgeraten.


===== Was ist die Zukunft? =====
Dieses Verhalten ist noch sehr neu und es wird darum noch diskutiert, ob oder wie sehr sich das in Zukunft durchsetzen kann. Auch die Browser-Hersteller selber schlafen nicht, so hat beispielsweise Chrome auch schon angekündigt ein solches Verhalten nicht pauschal unterbinden zu wollen, sondern evtl. eine eigene Website-Berechtigung dafür anbieten zu wollen:
Google Chrome May Add a Permission to Stop In-Browser Cryptocurrency Miners

Dies hat auch damit zu tun, dass es evtl. in Zukunft so sein kann, dass Websites auf das Einblenden nerviger werbung verzichten wollen, wenn sie dafür in deinem Browser Crytowährungen minen dürfen:
Bitcoins statt Werbung?


===== Weitere Links: =====
Bitcoin: Wer surft, der schürft |*ZEIT ONLINE

Ist das nicht wie der ewig alte Kampf Virensignatur vs Malware?

Die werden hoffentlich bald ihre Listen/Signaturen updaten.

Interessanter wirds wohl auch werden, wenn Mozilla den FF57 herausbringt. Dann laufen die jetzigen Addons nicht mehr. Ich hoffe dann zumindest noscript wird irgendwie noch laufen :wtf: was mit ublock und so ist keine Ahnung. Dass sowas wie clippings läuft damit ich meine Textbausteine im TB verwenden kann, da hab ich garkeine Hoffnung :(

Also ich habe etwas weiter recherchiert zu dem Thema:

a) Die Standardliste zum Blocken von Inhalt von AdBlock, AdBlock Plus etc. ist die EasyList.
Es gibt einen Beitrag in deren Forum, wo es um diese Art con Crypto Advertisement geht. https://github.com/easylist/easylist/issues/613
Dort sagen sie, dass ein Skript zum minen von Coins kein "Ad" ist und darum nicht in deren Liste gehört.
b) Stattdessen gibt es jetzt eine eigene neue Liste mit dem Namen NoCoin Filter List

Die muss man allerdings momentan manuell zur Filterliste hinzufügen:
https://adblockplus.org/blog/kicking-out-cryptojack
https://adblockplus.org/subscriptions#type_other

Jetzt steht auch was bei heise --> Hacker entdecken verstecktes Mining von Kryptowährungen als Einnahmequelle

So, das ist ja schon ne üble Masche. Falls NoScript nicht mehr funktionieren, könnte man zumindest die bekannten coin-hive server über die HOST-Datei blocken, denke ich.

Also so:

0.0.0.0 coin-hive.com
0.0.0.0 coinhive.com

Sry das geht nicht. Ich kann nicht jeden Tag irgendwas in die /etc/hosts reinpfriemeln :balla: :pukeface:

Es wird Zeit dass mozilla und andere Browserhersteller endlich mal ihren Hintern bewegen. Aber bei mozilla sind die mit anderen Dingen beschäftigt. Die diese Arsch**** kriegen das alles echt noch kaputt! :mad:

Der MBAM Webschutz blockiert derartige Seiten.

Ist kein derartiger Webschutz vorhanden, schützt NoScript davor.

Habe beides gerade getestet. :)


uBlock origin und NoScript sind heutzutage schon fast Pflicht. ;)

Das sehe ich auch so. Nutzte seit Jahren NoScript und ABP und seit einiger Zeit statt ABP Ublock. Ist wirklich besser als ABP. Hoffentlich schafft es NoScript in den neuen Firefox.

Ich denke (leider) nicht, da es für viele zu ungequem/lästig ist.
Mich stört es dagegen gar nicht. :D

Gerade bei NoScript gefunden --> https://noscript.net/faq#qa2_1


IMPORTANT: if you're using Firefox 57 you'll need to open about:config and turn the extensions.legacy.enabled preference to true, otherwise the browser will refuse to install Noscript.
Also, please use latest development build.
NoScript is currently a Hybrid WebExtension, and therefore won't install on Firefox 57 pre-releases without this trick. Before Firefox 57 is released in the stable channel, a pure WebExtension NoScript will be available an you'll be automatically migrated to it. Notice also that, for this trick to work, you really need a "blueish" Firefox, either Firefox Developer Edition or Nightly.

Hier findet sich eine aktualisierte Liste. Wird in meinem Heimnetz auf DNS-Ebene gefiltert und auf den Mobilgeräten via HOSTS-Datei.

Ist schon ein paar Wochen her, dass ich das gelesen hab. Bin heute wieder zufällig darüber gestolpert:
Ad Network Uses DGA Algorithm to Bypass Ad Blockers and Deploy In-Browser Miners