传送门:是谁悄悄偷走我的电:利用DNSMon批量发现被挂挖矿代码的域名
传送门:是谁悄悄偷走我的电:那些利用主页挖取比特币的网站
传送门:是谁悄悄偷走我的电:某在线广告网络公司案例分析
《是谁悄悄偷走我的电》是我们的一个系列文章,讨论我们从 DNSMon 看到的网页挖矿的情况。在这个系列的之前的 一 、 二 和 三 中,我们已经介绍了整个Web挖矿的市场情况。当前我们知道,市场中的玩家主要可以分为挖矿网站和内容/流量网站,前者提供挖矿能力、后者提供流量,二者合力利用终端用户的浏览器算力挖矿获利。
当前,挖矿网站中最大的玩家是 coinhive 家族,按照被引用数量计,占据了 58% 的市场份额。这些在我们之前的文章中已经提及。
那么,流量网站的情况如何,有哪些有意思的情况?
Coinhive 的关联域名
DNSMon 有能力分析任意域名的 关联域名,在这个案例中可以拿来分析 coinhive 家族关联的 流量网站。通过分析这些流量网站的 DNS 流量,可以观察到很多有意思的事情。
下面是一个域名访问规模图:
在上图中:
- 横轴:代表时间,从 2018-01-31到2018-02-15
- 纵轴:列出 coinhive.com 的关联域名,通过分析其网页内容,我们证实其中大部分有网页挖矿行为
- 散点:代表这些域名的访问规模,面积越大表示当天的访问量越大
图中红框高亮的两个域名引起了我们的兴趣。这两个域名,在2月3号到2月8号这段时间内突然出现,访问量上来就很大、没有爬升期,并且在2月9号之后快速的消失。这些特点显著区别于其他域名相对稳定的流量表现。
- kw.cndqsjlg.com
- v.bjztkeji.com
下面是我们对这个案例的分析。
Coinhive 的流量波动
如上图所见,coinhive.com 的流量,在 2018-02-01~2018-02-10 之间有较大的波动,图中分成了四个部分:
- 第一次波峰,2月5日
- 第一次波谷,2月6日
- 第二次波峰,2月7日
- 第二次波谷,2月8日
下面我们逐一解释这些异常现象发生的原因。
Coinhive 的第一次波峰
看图中 stage 1 部分,我们会注意到 Coinhive 出现显著波峰,原因是什么?
注意图中绿色线,一个新的域名 kw.cndqsjlg.com 突然出现,并导致了 coinhive.com 在2月5日的流量波峰:
- 该域名的访问曲线,与 coinhive 第一次波峰的访问曲线基本一致
- 该域名的网页内容,经分析确认在利用 coinhive 脚本挖矿,对应的 site_key 是 76kBm8jdLIfdkW6rWAbAs58122fovBys
- 该域名是个全新域名,注册在2月2日,在波峰前约48小时
- 我们估算,该域名为 coinhive 贡献了中国大陆地区18% 左右的流量来源
Coinhive 的第一次波谷
在 2月6日~2月7日 期间,观察图中的 stage 2 部分,很容易注意到 coinhive 出现显著波谷,原因是:
- kw.cndqsjlg.com 域名放弃了 coinhive ,而是启用了 自建deepminer 挖矿从而避免 coinhive 的抽成费用
7日以后,该域名在不再活跃。
Coinhive 的第二次波峰
看图中 stage 3 部分,我们会注意到 Coinhive 再度出现显著波峰。原因是什么?
类似的,新的 v.bjztkeji.com 蓝色线7日在DNS流量中突然出现,并导致了 coinhive.com 在2月7日的流量波峰。
- 新域名的访问曲线,与 coinhive 第二次波峰的访问曲线基本一致
- 新域名的网页内容,经分析确认在利用 coinhive 脚本挖矿,对应的 site_key 是 76kBm8jdLIfdkW6rWAbAs58122fovBys,与老的 kw.cndqsjlg.com 一致
- 经分析确认,新域名的流量继承自之前 kw.cndqsjlg.com
- 我们估算,该域名为 coinhive 贡献了 中国大陆地区15% 左右的流量来源
Coinhive 的第二次波谷
360安全卫士在 8 日发布文章 批露 了该安全事件,指出两个域名的背后是国内某广告联盟。同时,360安全卫士在其旗下浏览器产品中阻断了上述两个网站未经用户许可的挖矿行为。此次批露后:
- kw.cndqsjlg.com 的流量:在7日之前就已经逐渐跌落至地板附近,流量由下者继承
- v.bjztkeji.com 的流量:在9日以后跌落至地板,至今没有反弹
- coinhive.com 的流量:9日之后流量大幅损失,并持续至今。估算其在中国大陆地区的流量下跌了 45%~65%
对应的流量图如下:
并非结束的结束
广告公司参与网页挖矿,是值得整个安全社区警惕的事情。我们在之前的 文章 中,就介绍过一个这样的案例。我们也毫不奇怪,市场上还会有其他玩家。
我们会持续关注整个网页挖矿市场的变化,如果读者们有新的发现,可以在 twitter 或者在微信公众号 360Netlab 上联系我们。