日前,360云安全系统监测到,国内的璧合科技DSP广告平台被嵌入了挖矿脚本,该脚本随广告平台投放的广告一起插入到了网页中,进而传播。当该嵌入了挖矿脚本的广告代码被加载起来,无论用户是否点击查看广告,均会自动触发挖矿代码的执行。该挖矿页面单日访问量逾百万次,多家知名站点受到影响,中招机器CPU资源会被大量占用,直接影响系统正常运行。
如今,Web挖矿攻击已不满足于单个网站挖矿,而是将目标对准流量更大、渠道更广的大型平台系统,如CRM系统、广告平台系统等;我们分析发现该广告平台,通过deepMiner自建了矿池,而不只是使用常见的coinhive,这样可以省去矿池的佣金,但是必须要保证有足够的算力才会有收益,由此也可见平台的覆盖范围比一般的挖矿攻击要大很多。下面就以该广告平台中植入挖矿脚本过程进行简要分析:
广告位插入挖矿JS过程简图:
图1
从广告位代码中看到其通过iframe嵌入了一个页面:http://kw.cn*****g.com/kww.html#0.5如下图所示 :
图2
图3
该页面又嵌入了deepMiner.min.js该JS及其挖矿所用到的关键js脚本均使用了AES+Base64加密,加密所使用的密钥为:’NBR2513UXFME9B4MWUTTIUKCELEIBRC4’ 对其进行解密后可看到是使用了中间件deepMiner构造自建的门罗币Web挖矿矿池;挖矿所用到的矿池地址:wss://kw.c******g.com/api
部分解密后片断如下:
图4
图5
就在对其进行测试分析的时候发现其最新的广告位中已经更换了iframe的链接地址,其中直接嵌入了coinhive挖矿脚本:
挖矿的Site_Key为:76kBm8jdLIfdkW6rWAbAs58122fovBys
CPU占用阈值throttle为:50%
图6
目前已发现受影的有几千个站点
部分受影响站点如下:
| www.263zw.com | Bbs.gfan.com |
| www.80dyy.cc | Bbs.duowan.com |
| www.chinadmd.com | www.52pk.com |
| Mini.eastday.com | www.4399.com |
| Shop.9you.com | www.biquge5.com |
| www.biquge.tv | www.qnvod.net |
| www.shu008.com | www.xiwuji.com |
| www.hanfan.cc | www.dyxia.com |
| www.meijutt.com | www.ddshu.net |
| www.365if.com | www.cnrexue.com |
| www.haoqu.net | www.mh160.com |
| …… | |
从iframe进去的两个域名注册信息看一个是2018年2月2号注册并且加了隐私保护,注册后域名请求量即出现指数级的增长,另一个是2012年注册。
图7
图8
整体传播趋势图:
图9
结语:
对于广大用户来说,使用专业的安全软件进行实时防护检测尤为重要。目前360安全卫士及360浏览器已国内首家推出反挖矿保护功能全面支持拦截此类挖矿脚本,用户只需开启360防护即可。
