记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

2018-02-08 18:45

在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了DNSMon检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。

在之前的 文章 中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用DNSMon对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。

当前我们可以看到:

  • 2% 的网站在首页嵌入了Web挖矿代码:Alexa Top 10万的网站中,有 241 (0.24%) ; Alexa Top 30万的网站中,有 629 (0.21%)
  • 色情相关网站是主体,占据了这些网站的49%。其它还有诈骗(8%)、广告(7%)、挖矿(7%)、影视(6%)等类别
  • 10+ 挖矿网站提供挖矿能力支撑,其中最大的是是com,占据了大约 57% 的份额,然后是 coin-hive.com (8%)、load.jsecoin.com (7%)、webmine.pro(4%)、authedmine.com (4%) 及其他

当前网页挖矿已经成为一个市场,市场中的角色包括:

  • 终端用户:当前他们的利益是被忽视的
  • 挖矿网站:新玩家,提供网页挖矿脚本和能力
  • 内容/流量网站:既有网站,有庞大的用户但缺少变现手段。现在他们将既往无利可图的流量导向挖矿网站,利用消费者的算力网页挖矿,完成变现。最近也开始有一些内容网站,他们自行搭建挖矿能力,肥水不留外人田。

600+ 内容/流量网站

在 Alexa Top30万的站点中,通过验证他们的首页,我们可以确认当前有至少 628 个网站挂载了挖矿代码。我们把这些域名绘制了标签图如下,读者可以有一个直观印象。由于色情相关的特殊性,我们不会公布这些已知域名。

网站内容分类如下表所示:

10+ 挖矿网站

市场占有率排名

内容/流量网站汇聚了用户流量以后,会通过挖矿网站来变现。按照被内容网站使用数量统计,我们看到 2018-02-06 当天的Top 10 挖矿网站如下所示:

值得一提的是,上表中尽管所有的挖矿网站被使用了728次,但所有的内容网站加起来只有 628 个,这是因为部分内容网站使用了 2 个或者更多的挖矿网站。在这个市场里,这是一种普遍的情况。

挖矿网站家族

所有的挖矿网站之间,是可以汇聚到不同家族的。我们已知的挖矿网站家族包括:

  • coinhive: coinhive.com, coin-hive.com,以及系列网站
  • jsecoin: load.jsecoin.com
  • webmine: webmine.cz
  • cryptoloot: crypto-loot.com, cryptoloot.pro, webmine.pro以及系列网站
  • coinhave: coin-have.com, ws.cab217f6.space系列网站, api.cab217f6.space系列网站

流量趋势

主要的挖矿网站 DNS 流量趋势如下图:

从图中我们可以看出:

  • 市场开启于 2017-09,coin-hive.com 和com 先后于 2017-09-15 和 2017-09-28 开始有大量访问
  • 市场在持续变大,在2017-10 和 2018-01 分别有两次大的提升
  • 最大的玩家是coinhive家族,这与之前的观测一致。作为代表的com 网站流行度已经排入Top 2万
  • 越来越多的挖矿网站供应商在进入这个市场

另外,最近我们开始观察到,coinhave家族开始使用一些域名的冗余技术来将流量分散到类如6860c644.space等20个子站上,主站的流量在缩小。

新玩家和新玩法

近期我们注意到一些新的玩法正在这个市场上出现:

  • 广告商:有些网站的挖矿行为是广告商的外链引入的
  • 壳链接:有的网站会使用一个“壳链接”来在源码中遮蔽挖矿站点的链接
  • 短域名服务商:com.br 是一个巴西的短域名服务商,该网站主页,包括通过该服务生成的短域名,访问时都会加载coinhive的链接来挖矿
  • 供应链污染:midijs.net 是一个基于 JS 的MIDI文件播放器,网站源码 中使用了coinhive来挖矿
  • 自建矿池:有人在github上开源了一段代码,可以用来自建矿池
  • 用户知情的Web挖矿:com 是新近出现的一个挖矿网站,网站宣称只有在用户明确知道并授权的情况下,才开始挖矿

使用DNSMon检测网页挖矿情况的原理和优点

以上展示了我们使用DNSMon监控网页挖矿的结果,其监控原理如下:

  • 当用户浏览器开打内容网站的网页,并随后立即访问了挖矿网站时,这两个域名的紧密关联关系会被DNSMon记录下来
  • 在这个案例中,通过对com 相关的网站观察,我们能够识别挖矿相关网站
  • 由于内容网站不时切换背后的挖矿网站,所有记录下来的域名就能够连接成一张网络,从而反映整个市场内的玩家情况

使用DNSMon检测网页挖矿有以下优点和缺点:

  • 优点
    • 覆盖广
    • 准实时
    • 精度高
    • 可以利用域名关联网络,通过种子域名扩展发现新的可疑域名
    • 对链路劫持后的的支持,也好于传统网页扫描器
  • 缺点
    • 仅能反映域名之间关联,网页挖矿事实还需要使用其他手段确认

总体而言,利用DNSmon系统,我们能够:

  • 批量发现可疑站点
  • 快速确定挖矿网站
  • 定位使用了代码变形、壳链接的挖矿网站。

声明

本文中的标签图,使用 http://cloud.niucodata.com/ 制作

知识来源: www.mottoin.com/108968.html

阅读:78655 | 评论:0 | 标签:技术控

想收藏或者和大家分享这篇好文章→复制链接地址

“是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云