Malware draait steeds meer om geld en in dat plaatje past ook het recente fenomeen van cryptojacking: het kapen van systemen om ongemerkt cryptovaluta te delven. Dat kan via browserscripts of met heimelijke miningtools. Hoe voorkom je cryptominers, en hoe detecteer en elimineer je die?
Cryptojacking, waarbij je systeem wordt gekaapt voor het delven van cryptovaluta, is een recent fenomeen en antimalwareproducenten stellen een enorme vlucht van cryptominers vast, waarbij vooral Monero erg gewild is.
Een bezoek aan een dubieuze website kan volstaan: de javascript-ondersteuning van je browser doet de rest. Of je hebt een malafide e-mailbijlage geopend of de cryptominer is binnengeglipt tijdens de installatie van freeware. Er zijn overigens ook al heuse cryptojacking botnets, inclusief thingbots, ontdekt. Vooral Windows-toestellen blijken een dankbaar slachtoffer, maar ook andere platformen komen in het vizier: Linux, macOS, Android en iOS.
De heisa rond deze malware is om evidente redenen niet zo groot als bij ransomware. Er wordt immers alleen cpu- of gpu-rekenkracht gebruikt; je gegevens blijven gevrijwaard. Toch kun je ook deze malware niet bepaald onschuldig of onschadelijk noemen. Je stroomverbruik neemt toe en je systeem kan merkbaar trager reageren of zelfs crashen.
Bij langdurige en intensieve mining-operaties valt zelfs hardwareschade niet helemaal uit te sluiten. Cryptominers werken bovendien vaak gelijktijdig met andere vormen van malware, zoals ransomware. En uiteraard is er nog het ethische aspect: anderen trachten ongemerkt winst te maken op jouw kosten.
Testen met Coinhive
Om een cryptominer aan het werk te zetten volstaat het om naar een site als die van Coinhive te surfen en daar Start mining aan te klikken. Houd tegelijk je Windows Taakbeheer open (Ctrl+Shift+Esc): de cpu-belasting regel je via het aantal Threads en de Speed. De miner stopt zodra je het tabblad sluit.
Iets minder onschuldig is dat Coinhive zo’n script aanbiedt aan iedere geïnteresseerde, die het vervolgens op zijn site kan plaatsen. Klik op Integrate Coinhive on your website en vul de gegevens in. Je ontvangt een bevestigingsmail en in je online dashboard vind je bij Documentation onder meer het benodigde javascript. Je hoeft alleen nog maar YOUR_SITE_KEY te vervangen door je eigen publieke site-sleutel, te vinden in de rubriek Settings.
Nog minder onschuldig wordt het als je de miner hier downloadt - zoals ‘vriendelijk’ aangegeven in de documentatie: immers, die vraagt je sitebezoekers niet langer om toestemming voor het delven van cryptovaluta ...
Cryptominers blokkeren
Hoe kun je nu vermijden dat er cryptominers actief worden of zich in je systeem nestelen? Wat deze laatste categorie betreft kun je weinig meer dan de bekende, algemene malwarepreventiemaatregelen toepassen.
Wat de browser/javascriptvarianten betreft kun je overwegen om javascript uit te schakelen op verdachte sites. In Chrome bijvoorbeeld doe je dat via de geavanceerde instellingen, bij Privacy en beveiliging: klik op Instellingen voor content / JavaScript / Toevoegen (bij Blokkeren).
Een handiger alternatief is wellicht de installatie van een miningblocker als No Coin en minerBlock, beide beschikbaar voor zowel Chrome, Firefox en Opera (deze laatste heeft NoCoin overigens al standaard ingebouwd). Deze extensies hebben bekende domeinen en scripts op een zwarte lijst gezet, maar desgewenst kun je specifieke url’s whitelisten.
Een mogelijk alternatief is een hosts-injectie, waarbij je een geactualiseerde filterlijst met bekende cryptominersites inlaadt, zoals die van NoCoin (klik op hosts.txt). Het is overigens zo dat Firefox 63 cryptominingbescherming heeft ingebouwd en ook Chrome heeft plannen in die richting.
Zoals gezegd kunnen cryptominers ook heimelijk meeliften met legitieme (gratis) software. Zodra je dan zo’n programma installeert komt ook de cryptominer mee op je systeem. Nu kun je je wel wapenen tegen zulke pua’s ofte potentially unwanted applications. Onder meer Windows Defender kun je zo instellen dat die pua’s detecteert en de download blokkeert. Dat kan onder meer via PowerShell.
Start PowerShell als administrator en voer Set-MpPreference -PUAProtection 1 uit (met de waarde 0 schakel je deze extra beveiliging weer uit). Met dit testbestand kun je een en ander veilig uittesten.
Detectie met Process Explorer
Een logische indicatie voor de aanwezigheid van een actieve cryptominer is een verhoogde cpu-activiteit – met vaak een trager systeem tot gevolg. Dat kun je controleren met het ingebouwde taakbeheer, maar de sluwere cryptominers zetten zichzelf automatisch op non-actief zodra tools als het taakbeheer actief zijn.
Dat geldt trouwens ook voor krachtiger hulpmiddelen als Sysinternals Process Explorer. Het kan echter helpen wanneer je het programmabestand een onschuldige naam als notepad.exe meegeeft. We tonen kort hoe je met Process Explorer aan de slag gaat.
Klik de kolomtitel CPU aan om de processen volgens cpu-activiteit te ordenen. Wil je echter ook de gpu-activiteit zien, klik dan een kolomtitel met de rechtermuisknop aan en kies Select Columns / Process GPU / GPU Usage. Laat je echter niet zomaar leiden door de kolommen Description en Company, want die informatie is makkelijk te faken. Het programmapad is vaak informatiever: je voegt die kolom toe via Select Columns / Process Image / Image Path.
Verwijderen
Heb je het achterliggende proces geïdentificeerd dan kun je het vanuit het contextmenu van Process Explorer beëindigen. De kans is echter groot dat het na een herstart opnieuw actief is. Dan moet je uitvissen wat precies de trigger is en daar kan Sysinternals Autoruns je bij helpen. Het tabblad Everything somt zowat alle mogelijke autostarts op. Schakel het verdachte proces uit door het vinkje in Autoruns weg te halen, waarna je het bijhorende programmabestand kunt verwijderen.
We raden je echter aan hierna ook een grondige bootscan uit te voeren, zodat je zeker bent dat er geen actieve restanten overblijven.