当Coinhive于2017年9月首次出来时,通过寻找一些引用HTML源代码中的Coinhive API,使用浏览器矿工识别网站相当容易。因为这是一个新的现象,即使是糟糕的演员也没有掩饰他们的意图,收集统计信息是一个相当直接和准确的过程。

但是,随着广告拦截软件和安全公司开始检测和拦截Coinhive,犯罪分子会不遗余力地掩盖他们的代码。我们的朋友在Sucuri.广泛报道了妥协的网站运行不同风格的内容管理系统,注入了沉默的Coinhive API的创造性模糊版本。

代理也变得越来越普遍,更不用说越来越多的新的硬币等服务。最终,维护黑名单变得更大 - 虽然有点挑战。

在此博客中,我们通过避免最大限度的用户的CPU来查看矿工使用的侵权技术来绕过基于列表的阻塞者和基于行为的检测。这种逃避对于那些跟踪恶意软件活动并不是什么新的,但它表明它也可以成功地应用于密码。

逃避黑名单

该站点有问题在其矿工的两个不同版本之间交替,以保证最大曝光。“经典”一个明确参考Coinhive [。] com,这很容易被发现和阻止。第二个在语法上类似,但使用了不同的主机名(npcdn1现在[][]sh)。虽然它似乎似乎似乎很大,但它足以绕过大多数黑名单。

Now.sh是一个合法的云部署服务,适用于使用JavaScript (NodeJS)或Docker构建的应用程序,任何人都可以免费加入。就像其他云平台(AWS、谷歌、Azure)一样,在不影响无数其他合法应用的情况下屏蔽域名或IP地址是不切实际的。相反,区块必须在完全限定域名(FQDN)上执行npcdn1现在[][]sh

如上所述丹尼斯Sinegubko.在一篇关于来自GitHub的恶意矿工在美国,这起案件是假冒的JQuery活动的一部分,该活动运行的是DeepMiner自托管web应用程序。威胁行为者滥用平台即服务(PaaS)解决方案,不仅是为了逃避黑名单,还为了通过选择自己选择的Monero矿池来避免支付30%的Coinhive佣金。

问题在于追逐无限数量的子域,这很快就变成了打地鼠游戏。当我们在这个博客上工作时,一个新的(sxcdn3.now.sh.),但仍未被许多公开的屏蔽列表发现。

观察CPU使用情况

检测浏览器矿工的另一种方法是监视CPU使用率,基本上检测正在消耗大部分处理器周期的违规标签。这是大多数矿工(基于恶意软件或浏览器)之间的共同行为,其中威胁演员在不担心放慢访客的计算机的情况下运行非努力的代码。

由于滥用CPU可能是触发加密挖掘检测的一种方法,因此威胁行为者通常会让他们的矿机运行在某个阈值以下,以便它与正常活动融合在一起。这里的情况就是这样,矿机的CPU使用率在80%左右,这很可能是通过玩在线游戏产生的。

结论

恶意加密矿正在快速发展,迫使防御者想出主动检测和阻止这种威胁的新方法。确定服务器的危害需要花费更多的时间来消除可疑脚本的混淆,同时提出更通用的检测规则。

对于最终用户,广告拦截器并且一般而言,Web阻止仍然是打败密码术的最佳手段之一,但它们也需要不断更新以保持在海湾。重要的是要理解威胁演员使用的不同机制,而且又开发了最有效的缓解技术。

必威平台APP识别和阻止涉及加密挖矿活动的域或代理,但也标记可能使用逃避技术绕过标准黑名单方法的网站。

妥协的指标

mxcdn1 [。] now.sh mxcdn2 [。] now.sh npcdn1 [。] now.sh sxcdn02 [。] now.sh sxcdn3 [。] now.sh sxcdn4 [。] now.sh sxcdn6 [。] num.sh