拒绝成为免费劳动力:检测含有挖矿脚本的WiFi热点

作者:qingxp9@360PegasusTeam

前几日看到一则新闻,一家星巴克店内无线网络被发现植入了恶意代码,劫持网络流量利用用户设备挖掘门罗币(XMR)。

与加密货币相关的安全事件总是引人注目,我们除了认识到门罗币具有一定的入手价值外,还再次见识到了公共WiFi的危险。

不久后Arnau Code写了一篇文章,详细介绍了如何通过MITM攻击植入JavaScript代码,从而让WiFi网络内的所有设备帮助攻击者挖矿,并以CoffeeMiner的名称进行了开源:https://github.com/arnaucode/coffeeMiner

我相信有很多家伙会从这个新闻以及CoffeeMiner工具中得到启发,利用类似的攻击方式开创挖矿事业。不过本篇我并不想过多讨论攻击方面的问题,最近行业内出现了对防御型安全人才的呼声,因此我打算应景的写一篇防御角度的文章,分析如何便捷的检测周围WiFi网络是否被植入了挖矿代码。

后文我将围绕“CoinHive的介绍”,“开放式WiFi网络的特性”,“检测工具的实现”三点来进行叙述,文章的末尾将公布完整的代码方便大家参考。

 

CoinHive

星巴克挖矿事件中所使用的便是CoinHive挖矿程序。Coinhive是一个提供门罗币挖掘JS脚本的网站平台(https://coinhive.com),攻击者会将其提供的脚本植入到自己或入侵的网站上。一旦有用户访问网页加载JS后,便会利用用户设备的运算资源挖掘门罗币。

在CoinHive官网注册登陆后,在其文档中发现了多种部署方式的介绍,包括JS代码形式、人机验证形式、Wordpress插件形式等等,种类非常丰富。

比如注册登陆时候的人机验证,就会启动挖矿程序,等待一段时间的挖矿后才能登录。

根据JavaScript Miner的介绍文档,将事例代码放入网站的html中就可以了,部署极其简单。

相应的,屏蔽的方法也很简单,各种Adblock软件早已将它们屏蔽啦。

根据提示,如果不想有提示用户的弹窗可以将代码中的 authedmine.min.js 替换为 coinhive.min.js。

 

开放式WiFi的特性

无密码的开放式WiFi网络一直以来因其存在的安全威胁为广大安全人员所诟病,主要在于两点:攻击者可轻易建立同名钓鱼WiFi(客户端会自动连接!),通信数据未加密容易被嗅探。

最近Wi-Fi联盟表示将在即将发布的WPA3中,添加对开放式WiFi的通信数据加密。但在支持WPA3的设备被广泛使用前,需要警惕相应的攻击场景还会存在很长一段时间。回到本文,开放式的WiFi网络一直是类似恶意攻击发生的重灾区,结合刚刚所介绍的“通信数据未加密特性”,我们的检测工具实现原理就呼之欲出了,即监听明文的802.11数据帧,当发现目标信息便进行告警。

 

检测工具的实现

搭建测试热点

首先,建立一个包含攻击代码的开放式WiFi网络方便后续测试。

笔者是通过无线网卡Hostapd建立软AP,Dnsmasq提供DHCP及DNS服务,本地Nginx提供Web服务并植入CoinHive代码,最后通过iptables配置Captive Portal(强制认证登陆页面)。如此当移动设备连接到该热点,会自动弹窗提示需要认证,点击后就会访问含有挖矿代码的网页了。

考虑到大部分读者并不像我这样富有,同时拥有两块无线网卡!(之后需要一块来进行监听),而且Hostapd、Dnsmasq、Nginx、iptables这套方案的部署配置较为复杂,没有祖传的手艺容易出问题。在此我推荐一个简单的方案:利用随身WiFi或者家庭路由器建立热点,配置认证页面到本地Web服务。好吧,如果没有认证页面的配置选项,手动访问网页也是一样的。

监听明文802.11数据帧

下一步,我们来嗅探传递在空气中的HTTP数据。将无线网卡配置为Monitor模式,切换到热点所在的Channel,并使用Wireshark进行观察。

ifconfig wlan0 down

iwconfig wlan0 mode monitor

ifconfig wlan0 up

iwconfig wlan0 channel 11

映入眼帘的应该是大量的各种802.11帧。我们的目标是未加密的数据帧,其中的HTTP数据将会被Wireshark所解析,我们键入“http.response”进行筛选HTTP Response包。与此同时,需要让我们的移动设备访问目标网页,接着就能观察到一些数据啦。

我们直接尝试过滤包含CoinHive特征代码的数据包“data-text-lines contains CoinHive.Anonymous”,结果如下。

此时我们便能得出结论,该热点存在着CoinHive挖矿代码。从wlan.sa字段取得该热点MAC地址,再结合Beacon或Probe帧获取其热点名称。当然我们也可以使用Wireshark的命令行工具Tshark在终端里进行操作,并指定输出格式只输出热点MAC地址。

使用Scapy编写恶意热点识别框架

总结一下,我们的程序就像是一个对明文802.11数据帧的分析器。按照这个思路,只需要添加不同的识别规则就能扩展出对各种不同攻击行为的检测。为了添加扩展性,在此使用Scapy来编写一个简单的框架。

使用PIP安装Scapy

注意由于scapy没有对http协议进行解析,所以引入了scapy_http扩展包。

sudo apt install python-pip

pip install scapy

pip install scapy_http

获取热点列表

上面tshark的程序有个缺点,就是不太方便同时显示出热点名称。于是在此框架中,我们会先扫描一下周边热点信息以便后用。

from scapy.all import *

from scapy.layers import http

iface = "wlan0"
ap_dict = {}
def BeaconHandler(pkt) :
  if pkt.haslayer(Dot11) :
    if pkt.type == 0 and pkt.subtype == 8 :
        if pkt.addr2 not in ap_dict.keys() :
            ap_dict[pkt.addr2] = pkt.info

sniff(iface=iface, prn=BeaconHandler, timeout=1)

监听含有关键字的HTTP数据包

当匹配到告警规则后,输出热点名称、MAC地址及告警详情。

filter_response = "tcp src port 80"

def HTTPHandler(pkt):

  if pkt.haslayer('HTTP'):

    if "CoinHive.Anonymous" in pkt.load:

      mac = pkt.addr2

      if mac in ap_dict.keys() :

          ssid = ap_dict[mac]

          reason = "Coinhive_miner"

          print "Find Rogue AP: %s(%s) -- %s" %(ssid, mac, reason)

      else:

          print mac

sniff(iface=iface, prn=HTTPHandler, filter=filter_response, timeout=5)

监听模式及信道切换

2.4GHz中,热点一般会建立在1、6、11三个互不干扰的信道上。为了增加监听覆盖的信道,让我们的程序增加信道切换功能。

import os

print "[+] Set iface %s to monitor mode" %(iface)

os.system("ifconfig " + iface + " down")

os.system("iwconfig " + iface + " mode monitor")

os.system("ifconfig " + iface + " up")

channels = [1,6,11]

print "[+] Sniffing on channel " + str(channels)

while True:

    for channel in channels:

        os.system("iwconfig " + iface + " channel " + str(channel))

        ...

最终效果

把以上的模块组装在一起就可以使用啦,可以[在这查看完整代码](https://github.com/360PegasusTeam/WiFi-Miner-Detector)。

测试效果如下:

如果你想添加更多的检测规则,可以在HTTPHandler函数里边扩展。

(完)