黑客是如何利用你的瀏覽器進行挖礦的?

網站內容來源http://server.it168.com/

黑客是如何利用你的瀏覽器進行挖礦的?

2018-05-30 18:05    來源:FreeBuf.COM  作者: 千里目安全實驗室 編輯:
0購買

  0×1 概述

近期,千里目安全實驗室監測到了一大批網站系統被惡意植入了網頁挖礦木馬,只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點,瀏覽器會即刻執行挖礦指令,從而淪為殭屍礦機,無償的為網頁挖礦木馬植入者提供算力,間接為其生產虛擬貨幣,這是一種資源盜用攻擊。由於網頁挖礦木馬存在很廣的傳播面和很不錯的經濟效益,因此、廣受黑產團體的追捧,讓我們對它防不勝防!

 0×2 千里百科

區塊:在區塊鏈網絡上承載交易數據的數據包。它會被標記上時間戳和之前一個區塊的獨特標記。區塊頭經過哈希運算後會生成一份工作量證明,從而驗證區塊中的交易。有效的區塊經過全網絡的共識後會被追加到主區塊鏈中。

區塊鏈:狹義來講,是一種按照時間序列將數據區塊以順序相連的方式組合成的一種鏈式數據結構,並以密碼學方式保證的不可篡改和不可偽造的分佈式賬本。

礦機:礦機是挖礦機器的簡稱,就是用於賺取数字貨幣的計算機,這類計算機一般有專業的挖礦芯片,多採用燒顯卡的方式工作,耗電量較大。個人計算機可以通過挖礦軟件來運行特定的算法產生算力(俗稱挖礦)來獲得相應数字貨幣。

礦池:由於單一礦機想挖到一個塊的幾率是非常小的,通過礦機聯合挖礦以提高几率。一個礦池的算力是很多礦機算力的集合,礦池每挖到一個塊,便會根據你礦機的算力占礦池總算力的百分比,發相應的獎勵給到個體,也不會存在不公平的情況。

挖礦:挖礦是反覆嘗試不同的隨機數對未打包交易進行哈希,直到找到一個隨機數可以符合工作證明的條件的隨機數,以構建區塊。如果一個礦工走運併產生一個有效的區塊的話,會被授予的一定數量的幣作為獎勵。

錢包:錢包指保存数字貨幣地址和私鑰的軟件,可以用它來接受、發送、儲存你的数字貨幣。

  0×3 家族樣本分析

千里目安全實驗室通過持續對全網進行安全監測,發現近期有如下十種家族的網頁挖礦木馬的傳播比較活躍。詳情分析如下所示:

  1、Coinhive家族網頁挖礦木馬介紹:

Coinhive是一個專門提供挖礦代碼的JS引擎,在被攻擊網站的網頁內嵌一段JS挖礦代碼,只要有人訪問被攻擊的網站,JS挖礦代碼就會通過瀏覽器上執行挖礦請求,佔用大量的系統資源,導致CPU資源利用率突然大幅度提升,甚至100%。在這過程中網站只是第一個受害目標,而網站的訪問者才是最終的受害目標。

1.1、Coinhive家族網頁挖礦木馬代碼,如下所示:

1.2、執行JS挖礦代碼前後的效果,如下圖所示:

1.3、通過快捷鍵(Shift+ESC)來查看瀏覽器的任務管理器,發現正是剛打開的“XMR Mining Page”網站頁面佔用了98.4%的CPU資源,正在瘋狂的挖礦。如下圖所示:

  2、JSEcoin家族網頁挖礦木馬介紹:

JSEcoin是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。但是與後者不同的是,JSECoin會將CPU使用率限制在15%至25%之間,並且始終显示隱私聲明,為用戶提供退出選項(可選擇不提供運算服務)。

2.1、JSEcoin家族網頁挖礦腳本代碼,如下所示:

2.2、通過對JSEcoin挖礦代碼進行調試,發現執行完挖礦代碼後會持續接收到需要運算的任務,如下圖所示:

2.3、通過進一步跟蹤運算過程,發現其通過WSS協議來獲取區塊的計算任務,然後將結果進行回傳效驗,校驗通過的會显示OK標記。如下圖所示:

  3、CryptoLoot家族網頁挖礦木馬介紹:

CryptoLoot是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoLoot平台的傭金比Coinhive平台的傭金低很多,這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

3.1、CryptoLoot網頁挖礦腳本代碼,如下所示:

3.2、CryptoLoot網頁挖礦腳本代碼參數介紹,如下所示:

miner.min.js:為JS挖礦腳本。

85e693dfe57edbdf8f53640b4c0b0d257513a504c503:為SiteKey,可以理解為JS挖礦引擎識別站點的唯一標識。

threads(value):指挖礦運算所啟用的線程數量。這裏的值為3,即表示啟用3個線程進行挖礦運算。

autoThreads(value):這裏的Value可以設置為true和false,當設置為true時,表示自動檢測用戶計算機上可用的CPU內核數量。

throttle(value):這裏的value是設置線程閑置時間比例的。如果值為0,即表示不進行節流(即進行CPU滿載運算)。這裏的值為0.2即表示將在20%的時間內保持空閑狀態。

 4、DeepMiner家族網頁挖礦木馬介紹:

DeepMiner是一個開源的JS挖礦項目,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

4.1、DeepMiner網頁挖礦腳本代碼,如下所示:

4.2、DeepMiner網頁挖礦腳本同源分析:

DeepMiner是一個已經被開源了的項目,通過分析,發現上面的挖礦腳本代碼為此開源項目修改而來(開源項目地址為:https://github.com/deepwn/deepMiner)。

 5、Webmine家族網頁挖礦木馬介紹:

Webmine也是一個與Coinhive類似的JS挖礦引擎,在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

5.1、Webmine網頁挖礦腳本代碼,如下所示:

5.2、訪問JS挖礦站點時,發現CPU使用率劇增,隨後退出對JS挖礦站點的訪問,發現CPU的使用率一下子就降下來了。如下圖所示:

6、AuthedMine家族網頁挖礦木馬介紹:

AuthedMine也是一個與Coinhive類似的JS挖礦引擎,在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

  6.1、AuthedMine網頁挖礦腳本代碼,如下所示:

6.2、 AuthedMine網頁挖礦腳本與之前的幾種相比有比較大的改進,大致如下3點:

設置了線程閑置時間比例,這樣不容易被礦機受害者發現和察覺。

設置了挖礦設備類型,只對非移動設備進行挖礦運算,防止手持終端設備被卡死。

設置了挖礦運算時間,只挖礦4小時,避免長時間CPU過高而遭暴露。

  7、BrowserMine家族網頁挖礦木馬介紹:

BrowserMine是一個與DeepMiner類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

7.1、BrowserMine網頁挖礦腳本代碼,如下所示:

7.2、 執行JS挖礦代碼前後的效果,如下圖所示:

  8、Coinimp家族網頁挖礦木馬介紹:

Coinimp是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。稍有不同的是Coinimp的平台費用基本免費,而且JS挖礦腳本可以重置為任意名字存放在本地,偽裝性更高。

8.1、Coinimp網頁挖礦腳本代碼,如下所示:

8.2、Coinimp網頁挖礦腳本代碼與之前的幾個有一個明顯的區別就是SiteKey值變成了64位,同時,JS挖礦代碼可以保存到本地存儲了,訪問參數與JS腳本名稱可以自行定義。

  9、CryptoWebMiner家族網頁挖礦木馬介紹:

CryptoWebMiner是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoWebMiner平台的傭金比Coinhive平台的傭金低很多,這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

9.1、CryptoWebMiner網頁挖礦腳本代碼,如下所示:

9.2、CryptoWebMiner網頁挖礦腳本代碼結構與Coinhive很類似,但支持的幣種比較多,主要有BTC、ETH、ZEC、ETN、XMR。另外,它支持的平台也很多,分別為手機端挖礦、PC端挖礦、WEB端挖礦,可見傳播面很廣。

  10、PPoi家族網頁挖礦木馬介紹:

PPoi是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

10.1、PPoi網頁挖礦腳本代碼,如下所示:

10.2、通過訪問PPoi平台官方地址,發現已經被Google GSB加入黑名單了。如下所示:

0×4 趨勢分析與統計

1、我們通過對分析過的網頁挖礦木馬代碼特徵,使用FOFA對全球所有在線Web應用系統進行統計,發現有60742892個Web應用被惡意掛載了網頁挖礦木馬。如下為全球TOP10地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示:

統計數據來自於FOFA平台

2、進一步通過這些網頁挖礦木馬的代碼特徵來對中國境內所有在線Web應用系統進行分析和統計,發現有4557546個Web應用被惡意掛載了網頁挖礦木馬。如下為中國境內TOP N地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示:

統計數據來自於FOFA平台

0×5 安全建議

ü 定期對服務器中的數據做備份,看到類似以上10種形態的可疑腳本代碼,需提高警惕(這很可能意味着我們的站點和服務被入侵了 ),找專業的安全人員來做分析和處理。

ü 如在服務器中發現存在可疑的後門或惡意代碼,需做全局的排查和清理,然後再做安全加固工作。

ü 定期主動對服務器及服務器中的應用進行安全評估,及時發現潛在的風險,並及時處置和修復。

0×6 IOCs

C2:

https://coinhive.com

https://coin-hive.com

https://webmine.cz

https://webmine.pro

https://munero.me

https://load.jsecoin.com

https://browsermine.com

https://authedmine.com

https://crypto-loot.com

https://cryptaloot.pro

https://ppoi.org

URL:

https://coinhive.com/lib/coinhive.min.js

https://coin-hive.com/lib/coinhive.min.js

https://crypto-loot.com/lib/miner.min.js

https://cryptaloot.pro/lib/miner.min.js

https://authedmine.com/lib/authedmine.min.js

https://ppoi.org/lib/projectpoi.min.js

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

黑客是如何利用你的瀏覽器進行挖礦的?