黑客浏览器
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
黑客是如何利用你的浏览器进行挖矿的? 千里目安全实验室专栏作者2018-05-30共390020人围观 ,发现 5 个不明物体 WEB安全
0×1 概述
近期,千里目安全实验室监测到了一大批网站系统被恶意植入了网页挖矿木马,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币,这是一种资源盗用攻击。由于网页挖矿木马存在很广的传播面和很不错的经济效益,因此、广受黑产团体的追捧,让我们对它防不胜防!
0×2 千里百科
区块:在区块链网络上承载交易数据的数据包。它会被标记上时间戳和之前一个区块的独特标记。区块头经过哈希运算后会生成一份工作量证明,从而验证区块中的交易。有效的区块经过全网络的共识后会被追加到主区块链中。
区块链:狭义来讲,是一种按照时间序列将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证的不可篡改和不可伪造的分布式账本。
矿机:矿机是挖矿机器的简称,就是用于赚取数字货币的计算机,这类计算机一般有专业的挖矿芯片,多采用烧显卡的方式工作,耗电量较大。个人计算机可以通过挖矿软件来运行特定的算法产生算力(俗称挖矿)来获得相应数字货币。
矿池:由于单一矿机想挖到一个块的几率是非常小的,通过矿机联合挖矿以提高几率。一个矿池的算力是很多矿机算力的集合,矿池每挖到一个块,便会根据你矿机的算力占矿池总算力的百分比,发相应的奖励给到个体,也不会存在不公平的情况。
挖矿:挖矿是反复尝试不同的随机数对未打包交易进行哈希,直到找到一个随机数可以符合工作证明的条件的随机数,以构建区块。如果一个矿工走运并产生一个有效的区块的话,会被授予的一定数量的币作为奖励。
钱包:钱包指保存数字货币地址和私钥的软件,可以用它来接受、发送、储存你的数字货币。
0×3 家族样本分析
千里目安全实验室通过持续对全网进行安全监测,发现近期有如下十种家族的网页挖矿木马的传播比较活跃。详情分析如下所示:
1、Coinhive家族网页挖矿木马介绍:
Coinhive是一个专门提供挖矿代码的JS引擎,在被攻击网站的网页内嵌一段JS挖矿代码,只要有人访问被攻击的网站,JS挖矿代码就会通过浏览器上执行挖矿请求,占用大量的系统资源,导致CPU资源利用率突然大幅度提升,甚至100%。在这过程中网站只是第一个受害目标,而网站的访问者才是最终的受害目标。
1.1、Coinhive家族网页挖矿木马代码,如下所示:
图片.png
1.2、执行JS挖矿代码前后的效果,如下图所示:
图片.png
1.3、通过快捷键(Shift+ESC)来查看浏览器的任务管理器,发现正是刚打开的“XMR Mining Page”网站页面占用了98.4%的CPU资源,正在疯狂的挖矿。如下图所示:
图片.png
2、JSEcoin家族网页挖矿木马介绍:
JSEcoin是与Coinhive类似的JS挖矿引擎,也是在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。但是与后者不同的是,JSECoin会将CPU使用率限制在15%至25%之间,并且始终显示隐私声明,为用户提供退出选项(可选择不提供运算服务)。
2.1、JSEcoin家族网页挖矿脚本代码,如下所示:
图片.png
2.2、通过对JSEcoin挖矿代码进行调试,发现执行完挖矿代码后会持续接收到需要运算的任务,如下图所示:
图片.png
2.3、通过进一步跟踪运算过程,发现其通过WSS协议来获取区块的计算任务,然后将结果进行回传效验,校验通过的会显示OK标记。如下图所示:
图片.png
3、CryptoLoot家族网页挖矿木马介绍:
CryptoLoot是与Coinhive类似的JS挖矿引擎,也是在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。不过CryptoLoot平台的佣金比Coinhive平台的佣金低很多,这可以大大降低以挖矿为盈利目标的黑色产业链成本。
3.1、CryptoLoot网页挖矿脚本代码,如下所示:
图片.png
3.2、CryptoLoot网页挖矿脚本代码参数介绍,如下所示:
miner.min.js:为JS挖矿脚本。
85e693dfe57edbdf8f53640b4c0b0d257513a504c503:为SiteKey,可以理解为JS挖矿引擎识别站点的唯一标识。
threads(value):指挖矿运算所启用的线程数量。这里的值为3,即表示启用3个线程进行挖矿运算。
autoThreads(value):这里的Value可以设置为true和false,当设置为true时,表示自动检测用户计算机上可用的CPU内核数量。
throttle(value):这里的value是设置线程闲置时间比例的。如果值为0,即表示不进行节流(即进行CPU满载运算)。这里的值为0.2即表示将在20%的时间内保持空闲状态。
4、DeepMiner家族网页挖矿木马介绍:
DeepMiner是一个开源的JS挖矿项目,也是在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。
4.1、DeepMiner网页挖矿脚本代码,如下所示:
图片.png
4.2、DeepMiner网页挖矿脚本同源分析:
DeepMiner是一个已经被开源了的项目,通过分析,发现上面的挖矿脚本代码为此开源项目修改而来(开源项目地址为:https://github.com/deepwn/deepMiner)。
5、Webmine家族网页挖矿木马介绍:
Webmine也是一个与Coinhive类似的JS挖矿引擎,在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。
5.1、Webmine网页挖矿脚本代码,如下所示:
图片.png
5.2、访问JS挖矿站点时,发现CPU使用率剧增,随后退出对JS挖矿站点的访问,发现CPU的使用率一下子就降下来了。如下图所示:
图片.png6、AuthedMine家族网页挖矿木马介绍:
AuthedMine也是一个与Coinhive类似的JS挖矿引擎,在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。
6.1、AuthedMine网页挖矿脚本代码,如下所示:
图片.png
6.2、 AuthedMine网页挖矿脚本与之前的几种相比有比较大的改进,大致如下3点:
设置了线程闲置时间比例,这样不容易被矿机受害者发现和察觉。
设置了挖矿设备类型,只对非移动设备进行挖矿运算,防止手持终端设备被卡死。
设置了挖矿运算时间,只挖矿4小时,避免长时间CPU过高而遭暴露。
7、BrowserMine家族网页挖矿木马介绍:
BrowserMine是一个与DeepMiner类似的JS挖矿引擎,也是在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。
7.1、BrowserMine网页挖矿脚本代码,如下所示:
图片.png
7.2、 执行JS挖矿代码前后的效果,如下图所示:
图片.png
8、Coinimp家族网页挖矿木马介绍:
Coinimp是与Coinhive类似的JS挖矿引擎,也是在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。稍有不同的是Coinimp的平台费用基本免费,而且JS挖矿脚本可以重置为任意名字存放在本地,伪装性更高。
8.1、Coinimp网页挖矿脚本代码,如下所示:
图片.png
8.2、Coinimp网页挖矿脚本代码与之前的几个有一个明显的区别就是SiteKey值变成了64位,同时,JS挖矿代码可以保存到本地存储了,访问参数与JS脚本名称可以自行定义。
9、CryptoWebMiner家族网页挖矿木马介绍:
CryptoWebMiner是与Coinhive类似的JS挖矿引擎,也是在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。不过CryptoWebMiner平台的佣金比Coinhive平台的佣金低很多,这可以大大降低以挖矿为盈利目标的黑色产业链成本。
9.1、CryptoWebMiner网页挖矿脚本代码,如下所示:
图片.png
9.2、CryptoWebMiner网页挖矿脚本代码结构与Coinhive很类似,但支持的币种比较多,主要有BTC、ETH、ZEC、ETN、XMR。另外,它支持的平台也很多,分别为手机端挖矿、PC端挖矿、WEB端挖矿,可见传播面很广。
10、PPoi家族网页挖矿木马介绍:
PPoi是与Coinhive类似的JS挖矿引擎,也是在有访问量的网站中嵌入一段网页挖矿代码,利用访客的计算机CPU资源来挖掘数字货币进行牟利。
10.1、PPoi网页挖矿脚本代码,如下所示:
图片.png
10.2、通过访问PPoi平台官方地址,发现已经被Google GSB加入黑名单了。如下所示:
图片.png
0×4 趋势分析与统计
1、我们通过对分析过的网页挖矿木马代码特征,使用FOFA对全球所有在线Web应用系统进行统计,发现有60742892个Web应用被恶意挂载了网页挖矿木马。如下为全球TOP10地域的网页挖矿木马感染量和分布情况。详情如下所示:
图片.png
统计数据来自于FOFA平台
2、进一步通过这些网页挖矿木马的代码特征来对中国境内所有在线Web应用系统进行分析和统计,发现有4557546个Web应用被恶意挂载了网页挖矿木马。如下为中国境内TOP N地域的网页挖矿木马感染量和分布情况。详情如下所示:
图片.png
统计数据来自于FOFA平台
0×5 安全建议
ü 定期对服务器中的数据做备份,看到类似以上10种形态的可疑脚本代码,需提高警惕(这很可能意味着我们的站点和服务被入侵了 ),找专业的安全人员来做分析和处理。
ü 如在服务器中发现存在可疑的后门或恶意代码,需做全局的排查和清理,然后再做安全加固工作。
ü 定期主动对服务器及服务器中的应用进行安全评估,及时发现潜在的风险,并及时处置和修复。
0×6 IOCs
C2:
https://coinhive.com
https://coin-hive.com
https://webmine.cz
https://webmine.pro
https://munero.me
https://load.jsecoin.com
https://browsermine.com
https://authedmine.com
https://crypto-loot.com
https://cryptaloot.pro
https://ppoi.org
URL:
https://coinhive.com/lib/coinhive.min.js
https://coin-hive.com/lib/coinhive.min.js
https://crypto-loot.com/lib/miner.min.js
https://cryptaloot.pro/lib/miner.min.js
https://authedmine.com/lib/authedmine.min.js
https://ppoi.org/lib/projectpoi.min.js
*本文作者:千里目安全实验室,转载请注明来自 FreeBuf.COM
千里目安全实验室
千里目安全实验室
51 篇文章
等级: 6级
||
上一篇:挖洞经验 | 看我如何发现价值3万6千美金的谷歌RCE漏洞下一篇:利用“进程注入”实现无文件复活 WebShell
发表评论已有 5 条评论
gncao 专栏作者(3级) 2018-05-30回复 1楼
楼主能把所有的代码打包整合分享下吗?
亮了(0)
test 2018-05-30回复 2楼
马赛克打得很走心
亮了(0)
aaaaaaa 2018-05-30回复 3楼
百度新闻首页有个东方网,这个网站的新闻版就被GG了,多了就不说了,GG的太明显了
亮了(0)
失败者 2018-05-31回复 4楼
失败者膜拜中…………..
亮了(0)
evil7 专栏作者(5级) 入梦落樱满熏香,梦醒犹记四月谎 2018-06-01回复 5楼
开源互助,重分享,不作恶。
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
千里目安全实验室
千里目安全实验室专栏作者
这家伙太懒,还未填写个人描述!
51
文章数
1
评论数
最近文章
Microsoft SQL Server漏洞浅析
2018.11.15
勒索病毒GlobeImposter攻防演练
2018.11.14
BlackHeart勒索病毒再度来袭
2018.11.11
浏览更多
相关阅读
利用Redis未授权访问漏洞的挖矿病毒阴魂不散拒绝成为免费劳动力:检测含有挖矿脚本的WiFi热点ZombieboyMiner(僵尸男孩矿工)控制7万台电脑挖门罗币事件分析 | 一起攻击者利用Redis未授权访问漏洞进行新型入侵挖矿事件利用Java反序列化漏洞在Windows上的挖矿实验
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论