是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

2018-02-08 8,925

在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了 DNSMon 检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。

在之前的 文章 中,我们提到了openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。

当前我们可以看到:

  • 0.2% 的网站在首页嵌入了Web挖矿代码:Alexa Top 10万的网站中,有 241 (0.24%) ; Alexa Top 30万的网站中,有 629 (0.21%)

  • 色情相关网站是主体,占据了这些网站的49%。其它还有诈骗(8%)、广告(7%)、挖矿(7%)、影视(6%)等类别

  • 10+ 挖矿网站提供挖矿能力支撑,其中最大的是是 coinhive.com,占据了大约 57% 的份额,然后是 coin-hive.com (8%)、load.jsecoin.com (7%)、webmine.pro(4%)、authedmine.com (4%) 及其他

当前网页挖矿已经成为一个市场,市场中的角色包括:

  • 终端用户:当前他们的利益是被忽视的

  • 挖矿网站:新玩家,提供网页挖矿脚本和能力

  • 内容/流量网站:既有网站,有庞大的用户但缺少变现手段。现在他们将既往无利可图的流量导向挖矿网站,利用消费者的算力网页挖矿,完成变现。最近也开始有一些内容网站,他们自行搭建挖矿能力,肥水不留外人田。

600+内容/流量网站

在 Alexa Top30万 的站点中,通过验证他们的首页,我们可以确认当前有至少 628 个网站挂载了挖矿代码。我们把这些域名绘制了标签图如下,读者可以有一个直观印象。由于色情相关的特殊性,我们不会公布这些已知域名。

1.png

图1

网站内容分类如下表所示:

2.png

图2

10+挖矿网站市场占有率排名

内容/流量网站汇聚了用户流量以后,会通过挖矿网站来变现。按照被内容网站使用数量统计,我们看到 2018-02-06 当天的Top 10 挖矿网站如下所示:

3.png

图3

值得一提的是,上表中尽管所有的挖矿网站被使用了728次,但所有的内容网站加起来只有 628 个,这是因为部分内容网站使用了 2 个或者更多的挖矿网站。在这个市场里,这是一种普遍的情况。

挖矿网站家族

所有的挖矿网站之间,是可以汇聚到不同家族的。我们已知的挖矿网站家族包括:

  • coinhive: coinhive.com, coin-hive.com,以及系列网站

  • jsecoin: load.jsecoin.com

  • webmine: webmine.cz

  • cryptoloot: crypto-loot.com, cryptoloot.pro, webmine.pro以及系列网站

  • coinhave: coin-have.com, ws.cab217f6.space系列网站, api.cab217f6.space系列网站

流量趋势

主要的挖矿网站 DNS 流量趋势如下图:

4.png

图4

从图中我们可以看出:

  • 市场开启于 2017-09,coin-hive.com 和 coinhive.com 先后于 2017-09-15 和 2017-09-28 开始有大量访问

  • 市场在持续变大,在2017-10 和 2018-01 分别有两次大的提升

  • 最大的玩家是 coinhive 家族,这与之前的观测一致。作为代表的 coinhive.com 网站流行度已经排入Top 2万

  • 越来越多的挖矿网站供应商在进入这个市场

另外,最近我们开始观察到,coinhave 家族开始使用一些域名的冗余技术来将流量分散到类如6860c644.space等20个子站上,主站的流量在缩小

新玩家和新玩法

近期我们注意到一些新的玩法正在这个市场上出现:

  • 广告商:有些网站的挖矿行为是广告商的外链引入的

  • 壳链接:有的网站会使用一个“壳链接”来在源码中遮蔽挖矿站点的链接

  • 短域名服务商:goobo.com.br 是一个巴西的短域名服务商,该网站主页,包括通过该服务生成的短域名,访问时都会加载coinhive的链接来挖矿

  • 供应链污染:www.midijs.net 是一个基于 JS 的MIDI文件播放器,网站 源码 中使用了 coinhive 来挖矿

  • 自建矿池: 有人在 github 上开源了一段代码,可以用来自建矿池

用户知情的Web挖矿:authedmine.com 是新近出现的一个挖矿网站,网站宣称只有在用户明确知道并授权的情况下,才开始挖矿

使用 DNSMon 检测网页挖矿情况的原理和优点

以上展示了我们使用 DNSMon 监控网页挖矿的结果,其监控原理如下:

  • 当用户浏览器开打内容网站的网页,并随后立即访问了挖矿网站时,这两个域名的紧密关联关系会被 DNSMon 记录下来

  • 在这个案例中,通过对 coinhive.com 相关的网站观察,我们能够识别挖矿相关网站

  • 由于内容网站不时切换背后的挖矿网站,所有记录下来的域名就能够连接成一张网络,从而反映整个市场内的玩家情况

使用 DNSMon 检测网页挖矿有以下优点和缺点:

优点

  • 覆盖广

  • 准实时

  • 精度高

  • 可以利用域名关联网络,通过种子域名扩展发现新的可疑域名

  • 对链路劫持后的的支持,也好于传统网页扫描器

缺点

仅能反映域名之间关联,网页挖矿事实还需要使用其他手段确认

总体而言,利用 DNSmon 系统,我们能够:

  • 批量发现可疑站点

  • 快速确定挖矿网站

  • 定位使用了代码变形、壳链接的挖矿网站

本文作者:360核心安全

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/68204.html

Tags:
评论  (0)
快来写下你的想法吧!

360核心安全

文章数:70 积分: 76

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号