拒绝成为免费劳动力：检测含有挖矿脚本的WiFi热点

FB客服

发布于 2018-02-24 16:26:20

8550

发布于 2018-02-24 16:26:20

文章被收录于专栏：FreeBufFreeBuf

前几日看到一则新闻，一家星巴克店内无线网络被发现植入了恶意代码，劫持网络流量利用用户设备挖掘门罗币（XMR）。

与加密货币相关的安全事件总是引人注目，我们除了认识到门罗币具有一定的入手价值外，还再次见识到了公共WiFi的危险。不久后[Arnau Code写了一篇文章，详细介绍了如何通过MITM攻击植入JavaScript代码，从而让WiFi网络内的所有设备帮助攻击者挖矿，并以CoffeeMiner的名称进行了开源： https://github.com/arnaucode/coffeeMiner。

我相信有很多家伙会从这个新闻以及CoffeeMiner工具中得到启发，利用类似的攻击方式开创挖矿事业。不过本篇我并不想过多讨论攻击方面的问题，最近行业内出现了对防御型安全人才的呼声，因此我打算应景的写一篇防御角度的文章，分析如何便捷的检测周围WiFi网络是否被植入了挖矿代码。

后文我将围绕“CoinHive的介绍”，“开放式WiFi网络的特性”，“检测工具的实现”三点来进行叙述，文章的末尾将公布完整的实现代码方便大家参考。

CoinHive

星巴克挖矿事件中所使用的便是CoinHive挖矿程序。Coinhive是一个提供门罗币挖掘JS脚本的网站平台，攻击者会将其提供的脚本植入到自己或入侵的网站上。一旦有用户访问网页加载JS后，便会利用用户设备的运算资源挖掘门罗币。

在CoinHive官网注册登陆后，在其文档中发现了多种部署方式的介绍，包括JS代码形式、人机验证形式、Wordpress插件形式等等，种类非常丰富。

比如注册登陆时候的人机验证，就会启动挖矿程序，等待一段时间的挖矿后才能登录。

根据JavaScript Miner的介绍文档，将事例代码放入网站的html中就可以了，部署极其简单。

相应的，屏蔽的方法也很简单，各种Adblock软件早已将它们屏蔽啦。

根据提示，如果不想有提示用户的弹窗可以将代码中的 authedmine.min.js 替换为 coinhive.min.js。

开放式WiFi的特性

无密码的开放式WiFi网络一直以来因其存在的安全威胁为广大安全人员所诟病，主要在于两点：攻击者可轻易建立同名钓鱼WiFi（客户端会自动连接！），通信数据未加密容易被嗅探。

最近Wi-Fi联盟表示将在即将发布的WPA3中，添加对开放式WiFi的通信数据加密。但在支持WPA3的设备被广泛使用前，需要警惕相应的攻击场景还会存在很长一段时间。回到本文，开放式的WiFi网络一直是类似恶意攻击发生的重灾区，结合刚刚所介绍的“通信数据未加密特性”，我们的检测工具实现原理就呼之欲出了，即监听明文的802.11数据帧，当发现目标信息便进行告警。

检测工具的实现

搭建测试热点

首先，建立一个包含攻击代码的开放式WiFi网络方便后续测试。

笔者是通过无线网卡Hostapd建立软AP，Dnsmasq提供DHCP及DNS服务，本地Nginx提供Web服务并植入CoinHive代码，最后通过iptables配置Captive Portal（强制认证登陆页面）。如此当移动设备连接到该热点，会自动弹窗提示需要认证，点击后就会访问含有挖矿代码的网页了。

考虑到大部分读者并不像我这样富有，同时拥有两块无线网卡！（之后需要一块来进行监听），而且Hostapd、Dnsmasq、Nginx、iptables这套方案的部署配置较为复杂，没有祖传的手艺容易出问题。在此我推荐一个简单的方案：利用随身WiFi或者家庭路由器建立热点，配置认证页面到本地Web服务。好吧，如果没有认证页面的配置选项，手动访问网页也是一样的。