數千知名國內網站被掛挖礦腳本，中招機器CPU資源會被大量佔用

植入挖礦腳本過程分析

如今，Web挖礦攻擊已不滿足於單個網站挖礦，而是將目標對準流量更大、渠道更廣的大型平台系統，如CRM系統、廣告平台系統等；我們分析發現該廣告平台，通過deepMiner自建了礦池，而不只是使用常見的coinhive，這樣可以省去礦池的傭金，但是必須要保證有足夠的算力才會有收益，由此也可見平台的覆蓋範圍比一般的挖礦攻擊要大很多。下面就以該廣告平台中植入挖礦腳本過程進行簡要分析：

廣告位插入挖礦JS過程簡圖：

圖1

該惡意挖礦JS代碼存放在一個名為「璧合科技股份有限公司」的廣告分發平台上，頁面地址：http://rtb.my**b.net/getad?wp=AQu0kEUAAFp27CRhXgAJqaP7qk1bzNTKuA%3D%3D&info=CJ3pyAEQ9PoNGAMiDFI5UFdvM2x6cmd3PSoCdF8yCTgxOTEyNDY5MTj8tPPKoJYfQh90X21tXzE3Nzc3OTYwXzE1OTcwODI1XzYxMTMwNDUxSABSIDBiYjQ5MDQ1MDAwMDVhNzZlYzI0NjE1ZTAwMDlhOWEzWgoxNTE3NzQzMTQwsQHIJ2TnbTlcQLkBUmUYd4PcO0DYAQLgAYCjBegB%2FvAM8AEVggIWaHR0cDovL3d3dy5haXF1eHMuY29tL4oCCldpbmRvd3MgMTCSAgZDaHJvbWWiAgRfVFgxqAIAsAKcmbcBuAIAwALgyJmpBsoChgFiaF8wLGJoX2dkXzEwMDAyLGJoX2FnXzEwMDAzLGJoXzEwMDgwMDAwNixiaF8xMDA5MDAwMDIsYmhfMTAxMTAwMDAyLGJoXzEwMTMwMDAwMSxiaF8xMDE0MDAwMDQsYmhfMTAxOTAwMDI0LGJoXzEwMjExMDAwMSxiaF8xMDIxNDAwMDEsLNECAAAAAAAAAADYAgDgAgDoAgHwAgD4AgGCAwE5mAMA&exclickurl=http%3a%2f%2fclick.tanx.com%2fct%3ftanx_k%3d173%26tanx_e%3dvxyFNSUjo7l8NJ2eaOB%252bs%252bLBwnRx3hmLyd6Sd243yrvX3SzmgpedJAml3bcLCtIFtH5mQBEuzUMJS%252f3QArX7UqX3H9h77tFFby81UFbLgLN%252bMu%252ft07S9%252f%252bGGAjzc8QAI9TvCLp3eIHgcNa8C%252bfiap0%252bS8ED3CRXV5fcaiUOyg3w%253d%26tanx_u%3d

從廣告位代碼中看到其通過iframe嵌入了一個頁面：http://kw.cn*****g.com/kww.html#0.5如下圖所示：

圖2

圖3

該頁面又嵌入了deepMiner.min.js該JS及其挖礦所用到的關鍵js腳本均使用了AES+Base64加密，加密所使用的密鑰為：』NBR2513UXFME9B4MWUTTIUKCELEIBRC4』對其進行解密後可看到是使用了中間件deepMiner構造自建的門羅幣Web挖礦礦池；挖礦所用到的礦池地址：wss://kw.c******g.com/api

部分解密後片斷如下：

圖4

圖5

就在對其進行測試分析的時候發現其最新的廣告位中已經更換了iframe的鏈接地址，其中直接嵌入了coinhive挖礦腳本：

挖礦的Site_Key為：76kBm8jdLIfdkW6rWAbAs58122fovBys

CPU佔用閾值throttle為：50%

圖6

目前已發現受影的有幾千個站點，部分受影響站點如下：

從iframe進去的兩個域名註冊信息看一個是2018年2月2號註冊並且加了隱私保護，註冊後域名請求量即出現指數級的增長，另一個是2012年註冊。

圖7

圖8

整體傳播趨勢圖：

圖9

結語

對於廣大用戶來說，使用專業的安全軟體進行實時防護檢測尤為重要。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！