一度被认为已经灭绝的浏览器挖币，不可思议的死灰复燃，重现于热门网站和浏览者的眼线。

在2017年过去的几个月里，浏览器挖币活动爆发。经过几年的沉寂，这次浏览器挖币的始作俑者似乎是九月份Connive的出现，这个服务把所有东西都封装得非常简单易用，曾经被认为已经灭绝殆尽又被注入了新生命。

本文重点

浏览器挖币不是什么新鲜玩意儿；它至少2011年已经产生了。
密码币市场在2017年急速增长，还有能用家用硬件和操作简便的JavaScript API来挖币，导致了大量恶意的浏览器挖币，影响了很多知名的不知名的网站。
移动设备也没能逃脱魔爪，据观察，新增34%的设备检测到挖币代码。

尝试，测试，然后死翘翘

浏览器挖币，顾名思义，就是发生在浏览器里，使用脚本语言的挖币手段，这跟基于文件的挖币手段，比如下载和运行一个特定的可执行文件是很不一样的。

浏览器挖币可以追溯到2011年一项很有创造性，名叫BitcoinPlus.com的服务的推出，它很便宜，挖起来简单，这很容易跟众所周知的Bitcoin Plus.org (XBC)区别开来。它的矿池用的JavaScript代码，网站所有者可以注册服务，然后把它部署到站点上，供网站的访问者来挖。最大的不同是，2011年的BitcoinPlus.com挖的是Bitcoin (BTC) 而现在浏览器挖币，比如Coinhive，挖的是 Monero (XMR)--一种更新的，更安全的币种。

尽管那时候能够通过BitcoinPlus.com来挖比特币，但现实情况是，这几乎是无用功，相比那些消耗的电费，挖到的微乎其微。当然这是比特币触顶之前的说法，在2011年6月份，比特币涨到了高达30美元的程度。

由于盈利神威，它很快消失了。然而，这个想法后来卷土重来，一群有MIT学生组成的小组兜售一个叫 Tidbit—ostensibly 的项目来给网站所有者牟利。

浏览器挖币看起来情况并不好，随着ASIC矿工越来越多，挖矿的的利润问题越来越严重，ASIC矿工的出现，将比特币开采从家庭用户的领域中拉了出来，进入了一个工业时代，由我们今天更为熟悉的大型采矿场所控制。Tidbit销声匿迹之后，基于浏览器的挖矿一次又一次的上演，灭亡。

有挫折，也有教训。像Tidbit这样的服务的关键从来不是使用单一的服务器或电脑来挖币，这项服务的真正力量来自于，扩大和汇集大量的拥有平均硬件开采力量的用户访问一个网站。较高的网站流量意味着更高的回报，迟早会有人想出一个更好的方法让浏览器挖掘更高效地在终端用户的计算机上工作。

死亡之前的一道曙光
很快到了2017年9月，虚拟货币形势与2013相比发生了明显的变化。2013年4月，虚拟货币市场有限，总市值仅为15亿美元。数字币市场极其有限的流动性，这意味着即使你得到了一些，很容易把它变成法定货币支出。与2017年9月相比，扩展到一千多个不同的币种，市值达到令人难以置信的1660亿美元。

2017年，相比于币种的多样性，奖励机制也有了很多可能，有些货币，像Bitcoin，仍然只能通过一个proof-of-work (PoW)的过程，使用专用的高功耗的ASIC硬件进行开采，当然有尝试改变这一点，使用多种多样的硬件Bitcoin Gold (BTG)或Bitcoin Diamond (BCD)来进行GPU挖币，还有更多的可以使用零售级GPU的硬件在许多家庭电脑上开采。

正是在这样的背景下，Coinhive发布了它浏览器挖币脚本来挖Monero币，有效的似的浏览器挖币起死回生。

搞个大新闻

Coinhive是作为浏览器广告盈利的替代方案，背后的动机很简单：访问网站时，用户间接地通过挖币来为内容付费，站长们也不用广告，跟踪和下载相关的工具来困扰用户。用户希望得到一个更干净，更快，和潜在的风险较小的网站（还记得恶意广告吗？）来使用，何乐而不为呢？

该coinhive服务发布后不久，该服务的哈希率开始攀升，速度还很快。哈希率是矿池总计算力的哈希值，单位是每秒的哈希值，通常数以百万计（MH／s）。哈希运算是进行加密哈希的计算过程，用于帮助处理事务。参与采矿池的矿工会得到由矿池产生的收入的一部分。

据coinhive的一篇博客，他们的矿池，哈希率在几天之内从0 Mh/s攀升至3 MH/s，在一个星期内达到13.5 Mh/s,形象点说，Monero币的网络总哈希率在2017年九月20号站上260 MH/s的高度，Coinhive在如此短的时间内能达到全部容量的5%，真是一大成就。

Monero可以用CPU和GPU开采，但coinhive浏览器挖币服务只适用于CPU的挖掘，这是是一个限制，大大降低了潜在的收益。

为了使收入最大化，脚本最好放在高流量网站和“粘性”网站（用户在同一页上停留更长时间）。据一位早期采用者，他以独特的网站产生的收入远远低于广告所产生的收入。

为了对coinhive公平，它建议对网站的访问者透明，并且站长提醒用户存在挖币行为，最好，能为用户提供一种方式来选择。不幸的是，coinhive的理念不被理会，不法经营者很快就学会了偷偷挖币，而不被用户注意到。

激流勇进

第一个高调开始使用coinhive挖掘的网站是海盗的BT网站。海盗湾有一个曲折的历史，是一个高流量的网站（全球排名161 # 2亿9000万游客在过去的六个月），一直在寻找替代的方法来给其可观的流量变现。浏览器挖币的最初尝试很快就被用户发现了，他们对此很不满意。至少在海盗湾的情况下，这是一个网站的所有者决定使用coinhive案例。

海盗湾很快被另一个引人注目的网站模仿-这一次Coinhive的的挖币脚本被发现在两个直播网站，其中一个是直播网站

其他许多使用Coinhive开采脚本的网站的报道也随之而来。 在美国的感恩节假期，Coinhive矿工也被发现在一个LiveHelpNow小部件中，全世界许多网站都使用它来提供浏览器内的支持聊天会话。 造成这种情况的明显原因是LiveHelpNow使用其中一个CDN服务器来支持其widget。 与Showtime一样，LiveHelpNow已经是一个合法的创收业务，没有明显的原因显示，为什么它会挑战用户的信任从用户那里赚外快。 所以最可能的情况是，服务器被外部人员甚至内部员工所破坏。

浏览器挖掘也在许多其他不同的地方出现：

已经在浏览器扩展和插件中找到浏览器挖掘脚本。

即使是传统的技术支持诈骗页面也将浏览器挖矿加入到他们的页面作为额外的收入来源。 挖矿造成的CPU使用量过大可能实际上有助于使用户确信是他们的问题，并增加用户掉进骗局的可能。
人们甚至一直试图在停放的的域名上进行浏览器挖掘 - 就是当你无意中拼错一个域名时，有时可能会碰到的那种网站。

为什么浏览器挖掘会崛起？

为什么基于浏览器的挖币杀个回马枪是有很多原因的。 与以前失败的尝试不同的是，加密货币和威胁领域的最新发展使得这个可行的活动成为可能。 让我们详细的看看这其中的一些因素：

以隐私为中心的加密货币的出现

隐私是非常重要的，如果你想恶意挖掘硬币，以确保其他人不能轻易追踪到你的钱。 Monero于2014年上市，可以提供高水平的交易隐私。 与大多数使用公开透明区块链，任何人都可以轻松查看交易地址的其他加密货币不同的是，Monero做的是不同的事情。 默认情况下，所有内容都是私密的，包括交易金额，发送者以及接收者。 钱包所有者可以通过所谓的查看键选择性地显示一些信息，但这不是网络犯罪分子可能想要使用的功能。

使用方便

正如前面提到的，Coinhive提供了一个非常整洁和易于使用的软件包，供人们参与Monero采矿。 所有你需要做的是添加几行脚本到您的网站代码。 您不必让网站访问者下载并安装可执行文件。

在没有任何人注意的情况下，挖掘过程可以在浏览器中快速静默地开始，除非使用不足的限制，在这种情况下，用户会话期间的CPU负载可能达到最大，这对于终端用户来说是一个很明显的信息。

利用普通的家庭硬件来实现规模效益
即使最近Monero的价格超过300美元，考虑到目前网络的网络散列能力约为300 MH/s，上规模才能有利可图，需要仔细考虑成本。

通过基于浏览器的挖掘，挖掘成本主要由网站访问者通过硬件磨损和能源成本承担。规模效应是通过使用粘性内容的高流量网站来实现的。

Coinhive目前每百万次哈希支付0.000104 XMR（0.025美元）。 以一台具有能够推出大约300 H / s的中端英特尔i7-7700K CPU的PC用户为例。 用户将不得不在网站上花费3333秒，或大约55分钟，以实现一百万次散列。 但是，如果您可以让3,333位用户在网站上花费大约一秒钟的时间，则会获得类似的结果。

即使在最佳条件下，每种情况下产生的散列数量也会很小，但是当涉及到分布式计算能力时，这一切都是规模的，每一点点都会加起来。

加密货币的增长因素

正如我们前面提到的那样，挖币的收益并不高，至少在最初阶段并不高。 为了更好地理解，我们需要从长远的角度来看待这个活动的盈利能力，并且通过宏观经济的图景来获得真正意义上的回报。 像Monero这样的加密货币的价值正在急剧上升。 到2017年为止，价格从13美元上涨到300美元以上。 在这样的情况下，Monero的价格可以在相对较短的时间内大幅上涨，因此开采莫内罗可以成为一个有吸引力的主张。 今天开采的少量Monero在几个月内可能会有更多价值（它也可能会显著下降，取决于整个cryptocurrency经济的健康状况）。

反映出加密货币的兴趣和价格上涨，近几个月来，我们也检测到基于文件和浏览器的加密电子货币挖掘活动的大幅增长。

移动挖矿

恶意加密货币挖掘不仅限于台式机和服务器。 始终连接的移动设备也是一个不断增长的目标。 近年来，我们在手机上的挖币业务也有所增长。 2016年，我们发现了26个不同的Android应用程序，它们正在挖掘加密货币。 到2017年为止，我们已经找到了35个，大约增加了34％。

现在的手机处理器可以与中低档台式电脑一样强大，这使得移动挖掘更加可行。 但是，加密货币开采始终是一项能源密集型活动，因此移动挖币面临的最大问题当然是电池消耗，因为电池技术的进步速度没有处理能力那么快。 移动采矿将不可避免地受到发热和耗电的影响，更不用说对设备可能带来的性能影响。

未来该何去何从？

如果我们把整个加密货币市场看作是一个整体，那么就可以看出，正如在一年中加密货币的总值增加了很多，恶意挖掘活动的检测结果显示，基于浏览器和可执行文件的挖币也随之增加。

随着关注的增加，更多参与者参与进来，包括矿工和工具开发者。 Coinhive虽然是目前最为人所知的，但并没有市场。 像Crypto Loot这样的类似项目正在出现，其他浏览器采矿项目（如JSEcoin）自2017年8月以来一直处于测试阶段，并正试图实现增长。

赛门铁克近几个月来观察到所有加密货币开采活动都有显着的增长，我们的检测率在不断上升（参见图4和图5）。 尽管大多数浏览器挖币项目的真正愿望是为传统的网页创收方法提供一个真正的，可能更好的替代方案，可悲的现实是，它会被滥用。

安全厂商增强用户认知和检测将引发网络犯罪分子和维权者之间的新一轮军备竞赛。 最近在恶意使用基于浏览器的挖掘脚本方面的创新，例如发生在隐藏的浏览器窗口中的“弹出式（pop-under）”浏览器挖掘技术，就是这种行为的标志。 我们可以预见，广泛采用传统恶意软件传播和逃避技术来帮助传播和延长采矿活动，以实现利润最大化。 只要目前的支持因素能够有利于挖币，我们预计浏览器开采的热头将在短期到中期延续甚至增长。

赛门铁克如何帮助防止浏览器挖掘

赛门铁克正在密切关注浏览器挖掘的发展趋势。 我们正在进行必要的调整，以防止不必要的加密货币矿工窃取您的计算资源来方便他人。

网站所有者应该注意将浏览器挖掘脚本注入到他们的网站源代码中的行为。 我们的网络解决方案可以帮助您在服务器与访问者通信时在网络流量检测这些。 另外，文件系统扫描还可以显示任何已经注入了基于浏览器的矿工代码的文件，使您能够识别和清理内容。

赛门铁克通过保护攻击链的各个阶段，帮助防止他人窃取您的计算资源：

阻止与浏览器挖掘活动相关的网络流量

所有的采矿软件，无论是基于文件还是基于浏览器，都必须能够连接到加密货币网络或采矿池来交换数据，换句话说就是运行的证据。 没有这种连接，就无法获得生成散列所需的数据，从而导致无用的数据。 我们也可以阻止一开始就下载挖掘脚本。 我们的网络保护运行在我们的终端解决方案，网关和云节点上; 所有这些解决方案都有助于防范不必要的采矿活动。

以下是一些适用于检测基于浏览器的挖掘的网络保护签名：
Web Attack: PUA.JSCoinminer Download
Web Attack: JSCoinminer Download
Web Attack: JSCoinminer Download 6
Web Attack: JSCoinminer Download 7
Web Attack: JSCoinminer Download 8
Web Attack: JSCoinminer Download 10
Web Attack: JSCoinminer Download 12
Web Attack: JSCoinminer Download 13
Web Attack: JSCoinminer Download 14
Audit: JSCoinminer Download 3

阻止端点上的浏览器挖掘活动

我们的端点解决方案（包括移动设备的端点解决方案）可以检测并阻止所有类型的挖掘活动，无论是基于文件还是浏览器。 这些解决方案可以在第一时间防止挖掘软件安装或运行。 基于浏览器的挖掘脚本用PUA.JScoinminer检测。

翻译：daemond(看雪翻译小组)
原文刊于：赛门铁克博客

[培训]《安卓高级研修班(网课)》月薪三万计划，掌 握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法