導語:本文介紹Coinhive停止服務後加密貨幣挖礦攻擊的情況。
2017年9月是公認的加密貨幣挖礦元月。網站所有者可以利用用戶訪問網站來進行加密貨幣挖礦的想法並不少見,但Coinhive的出現讓這種想法變得更加簡單和主流。
這種挖礦服務一夜之間變得家喻戶曉,其API的使用不需要用戶同意也不消耗過多CPU。因此,攻擊者逐漸開始濫用這項服務來將被黑的站點和路由器變成非法挖礦生意的一部分。但好景不長,Coinhive從2019年3月開始停止服務,基於瀏覽器的挖礦活動平穩下滑。
本文主要關於基於web的加密貨幣挖礦,不涉及仍在感染PC、mac和服務器的挖礦惡意軟件。
Coinhive宣佈從今年3月8日開始停止服務,但研究人員仍然檢測到上千個與Coinhive相關的域名請求塊。上週,統計數據表明每天平均有50000個塊。
服務停止後幾天流量就達到了峰值,然後開始下滑和隨後穩定。
研究人員深入分析發現大量的網站和路由器並沒有清理相關的代碼,請求Coinhihve庫的JS代碼也仍然在。隨著停止服務,客戶端和服務器之間接收和發送數據的必要的WebSocket無法連接到服務器,導致0挖礦或0收入。
被黑的站點請求Coinhive的web請求,但是無法連接到後臺
加密貨幣挖礦還是個事嗎?
為了回答這個問題,首先來看一下基於瀏覽器挖礦的先鋒:種子網站。從下圖中可以看出,在訪問The Pirate Bay的代理時,CPU使用率達到100%。
種子網關仍然在運行加密貨幣挖礦代碼
以前,用戶是不會被告知網站上運行著挖礦的惡意代碼,更不必說劫持處理器使用率到最大了。
在該實例中,挖礦API是由Coinhive那時的競爭對手CryptoLoot提供的。在2017年底到2018年初,研究人員每天檢測到超過100萬次到CryptoLoot的請求。
其實還有其他類似的加密貨幣挖礦訪問,比如CoinIMP上就出現在很多文件共享網站上。
基於路由器的挖礦活動仍在繼續
雖然加載web挖礦機的被黑的站點數量在2018年底下降了很多,但由於影響MikroTik路由器的嚴重漏洞,基於路由器的挖礦活動開始了。
通過注入挖礦代碼到路由器中,併為互聯的設備提供服務,犯罪分子可以將這個範圍變大,並最終產生收入。
運行挖礦機的被黑的路由器數量也減少了。但研究人員發現有上百個網站不斷沒有清除原有的Coinhive代碼,還同時被注入了新的挖礦機(WebMinePool)。
攻擊活動開始消失
加密貨幣挖礦相關活動最大的變化是缺乏攻擊有漏洞的網站的新攻擊和活動。比如,2018年春,研究人員發現一波針對Drupal網站的攻擊,其中web挖礦機就是其主要payload。
目前被黑的站點被用於不同的流量變現方案有browlock、虛假更新和廣告惡意軟件活動。如果使用的CMS是Magento或其他電商平臺,主要的payload可能是web skimmer。加密貨幣挖礦活動雖然是曇花一現,但並不會完全消失。研究人員認為web挖礦活動仍然會繼續存在,尤其是那些產生大量流量的站點。
https://blog.malwarebytes.com/cybercrime/2019/05/cryptojacking-in-the-post-coinhive-era/
歡迎來安全脈搏查看更多的乾貨文章和我們一起交流互動哦!
脈搏地址:https://www.secpulse.com/archives/106525.html
微博地址:Sina Visitor System
閱讀更多 安全脈搏 的文章
