WAF - 2 - , الفرق بين قائمة الحظر والسماح، بعض الهجمات التي يتم منعها بواسطة WAFs ?

الكريبتوجاكينج: هو نوع من الأنشطة الخبيثة حيث يتم استخدام الجهاز المصاب لتعدين العملات الرقمية بسرية، حيث يقوم المهاجم بإستخدام  قوة المعالجة وعرض النطاق الترددي للضحايا ويتم في معظم الحالات يتم ذلك بدون وعي أو معرفة الضحية.

و لأن تعدين العملات الرقمية يتطلب إستخدام جزء كبير من طاقة المعالجة, يحاول المهاجمون السيطرة على العديد من الأجهزة و بهذه الطريقة هم قادرون على جمع موارد حاسوبية كافية للقيام بنشاط التعدين بطريقة أقل خطورة و تكلفة، وقد تم تصميم برمجيات التعدين الخبيثة المسؤولة عن مثل هذه الأنشطة لإستخدام ما يكفي من موارد النظام لـجهاز الضحية لأطول وقت ممكن دون أن يتم ملاحظتها.

 

كانت الإصدارات السابقة من برمجيات التعدين الخبيثة تعتمد على نقر الضحايا على الروابط الخبيثة أو مرفقات البريد الإلكتروني التي تقوم بإصابة انظمتهم ببرامج تعدين خفية، ولكن في العامين الماضيين تم تطوير أنواع أكثر تعقيدا من هذه البرمجيات والتي أخذت مفهوم الكريبتوجاكينج إلى مستوى جديد كليا، فمثلا في الوقت الحالي يتم تشغيل غالبية برمجيات التعدين الخبيثة من خلال نصوص برمجية (Scripts) مدمجة في مواقع الإنترنت و هذا الأسلوب يعرف بإسم (web-based cryptojacking).

 

Web-based cryptojacking:

وهو أكثر الأشكال لبرمجيات التعدين الخبيثة, ويتم تنفيذ هذا النشاط من خلال البرامج النصية (Scripts)  التي تعمل داخل موقع ويب، والتي تجعل متصفح الضحية يقوم بتعدين العملات الرقمية بشكل تلقائي خلال مدة زيارته للموقع، و هذه النوعية من التعدين يتم دمجها سرا في العديد من مواقع الإنترنت.

على عكس برنامج الفدية (Ransomware) فإن برمجيات التعدين الخبيثة نادرا ما تهدد الكمبيوتر والبيانات المخزنة فيه.

و أكثر تأثير ملحوظ للكريبتوجاكينج يكون انخفاض أداء وحدة المعالجة المركزية وفي بعض الاحيان  يصاحبه صوت مرتفع لمروحة الجهاز.

 

مفهوم الكريبتوجاكينج القائم على الويب (web-based) شوهد لأول مرة في سبتمبر عام 2017 حين تم إطلاق أول معدن رقمي يعرف بإسم CoinHive للجميع.

 يتكون CoinHive من JavaScript يعمل على تعدين العملات, و كان تم إنشاؤه في الأصل لخدمة هدف نبيل و هو السماح لمالكي مواقع الويب بتحقيق الربح من محتواهم المجاني دون الاعتماد على الإعلانات غير المرغوب فيها.

CoinHive متوافق مع جميع المتصفحات الرئيسية و هذا ما يجعلة سهل الانتشار، ويحتفظ منشئوه بنسبة 30% من جميع العملات الرقمية المستخرجة من خلال الكود الخاص بهم و يستخدم مفاتيح التشفير لتحديد حساب المستخدم الذي يجب أن يحصل على الـ70٪ الأخرى.

و على الرغم من أنه تم تقديمه في البداية كأداة مثيرة للاهتمام إلا أنه تلقى الكثير من الانتقادات بسبب حقيقة أنه يتم استخدامه الآن من قِبل مجرمي الإنترنت لنشر برمجيات التعدين الخبيثة في العديد من المواقع المخترقة وبدون معرفة أو إذن المالك.

في الحالات القليلة التي يتم فيها استخدام CoinHive بطريقة جيدة يكون الJavaScript الخاص بالكريبتوجاكينج اختياري و يسمي AuthedMine أي التعدين المصرح به، وهي نسخة معدلة من CoinHive بحيث تبدأ التعدين فقط بعد الحصول على موافقة الزائر.

ومن المهم معرفة ان الارتفاع والسقوط السريع للكريبتوجاكينج مرتبط بعمل شركات الأمن السيبراني حيث أن العديد من أكواد" الكريبتوجاكينج" على القائمة السوداء و يتم اكتشافها من قبل معظم برامج مكافحة الفيروسات بسرعة، وكذلك تشير التحليلات الأخيرة إلى أن مواقع الويب المدمجة للكريبتوجاكينج ليست مربحة كما يبدو.

 

أمثلة الـCryptojacking 

في ديسمبر 2017 تم دمج كود الـCryptojacking بطريقة سرية في شبكة الواي فاي الخاصة بمتاجر ستاربكس المنتشرة في "بوينس آيرس عاصمة الأرجنتين" والذي تم الإبلاغ عنه بواسطة أحد العملاء كان الكود يقوم بتعدين عملة Monero من خلال قوة المعالجة لأي جهاز متصل بشبكة الواي فاي.

وفي أوائل عام 2018 تم العثور على مُعَدِّن CoinHive يعمل على إعلانات YouTube من خلال نظام DoubleClick الخاص بشركة جوجل

و خلال شهري يوليو وأغسطس عام 2018 أصاب هجوم Cryptojacking أكثر من 200,000 جهاز توجيه (Router) من نوعية MikroTiz في البرازيل و الذي قام بحقن ودمج كود CoinHive في كمية كبيرة من مواقع الويب

 

كيف يتم اكتشاف ومنع هجمات الـCryptojacking؟

على الرغم من سهولة اكتشاف و إيقاف الـCryptojacking القائم على الويب (Web-based) إلا ان برمجيات التعدين الخبيثة التي تستهدف أنظمة الكمبيوتر و الشبكات ليس من السهل اكتشافها دائمًا نظرًا لأنها عادة ما تكون مصممة لتكون مخفية أو تظهر كشئ يعمل بشكل مشروع. 

يوجد إضافات (Extensions) للمتصفح قادرة على منع معظم هجمات الـCryptojacking على الويب بشكل فعال, كونها تقتصر على التعدين على مواقع الويب فقط فهذه الإجراءات المضادة تعتمد على قائمة سوداء ثابتة، لكنها تصبح قديمة في حين صدور نسخة جديدة من الـCryptojacking.

 لذلك من الموصى به أن تقوم بتحديث نظام التشغيل الخاص بك باستمرار بالإضافة إلي تحديث برنامج لمكافحة الفيروسات.

أما فيما يتعلق بالأعمال والمؤسسات الكبيرة فمن المهم إعلام وتثقيف الموظفين حول تقنيات الـCryptojacking و التصيد (Phishing) مثل رسائل البريد الإلكتروني الاحتيالية ومواقع الويب الخادعة.