首页
社区
课程
招聘
[原创]是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名
发表于: 2018-2-8 16:36 2200

[原创]是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

2018-2-8 16:36
2200

是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

作者:360网络安全研究院

在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了 DNSMon 检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。

在之前的 文章 中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。

当前我们可以看到:

·         0.2% 的网站在首页嵌入了Web挖矿代码:Alexa Top 10万的网站中,有 241 (0.24%) ; Alexa Top 30万的网站中,有 629 (0.21%)

·         色情相关网站是主体,占据了这些网站的49%。其它还有诈骗(8%)、广告(7%)、挖矿(7%)、影视(6%)等类别

·         10+ 挖矿网站提供挖矿能力支撑,其中最大的是是 coinhive.com,占据了大约 57% 的份额,然后是 coin-hive.com (8%)、load.jsecoin.com (7%)、webmine.pro(4%)、authedmine.com (4%) 及其他

当前网页挖矿已经成为一个市场,市场中的角色包括:

·         终端用户:当前他们的利益是被忽视的

·         挖矿网站:新玩家,提供网页挖矿脚本和能力

·         内容/流量网站:既有网站,有庞大的用户但缺少变现手段。现在他们将既往无利可图的流量导向挖矿网站,利用消费者的算力网页挖矿,完成变现。最近也开始有一些内容网站,他们自行搭建挖矿能力,肥水不留外人田。

600+ 内容/流量网站

在 Alexa Top30万 的站点中,通过验证他们的首页,我们可以确认当前有至少 628 个网站挂载了挖矿代码。我们把这些域名绘制了标签图如下,读者可以有一个直观印象。由于色情相关的特殊性,我们不会公布这些已知域名。

图1

网站内容分类如下表所示:

图2

10+ 挖矿网站

市场占有率排名

内容/流量网站汇聚了用户流量以后,会通过挖矿网站来变现。按照被内容网站使用数量统计,我们看到 2018-02-06 当天的Top 10 挖矿网站如下所示:

图3

值得一提的是,上表中尽管所有的挖矿网站被使用了728次,但所有的内容网站加起来只有 628 个,这是因为部分内容网站使用了 2 个或者更多的挖矿网站。在这个市场里,这是一种普遍的情况。

挖矿网站家族

所有的挖矿网站之间,是可以汇聚到不同家族的。我们已知的挖矿网站家族包括:

·         coinhive: coinhive.com, coin-hive.com,以及系列网站

·         jsecoin: load.jsecoin.com

·         webmine: webmine.cz

·         cryptoloot: crypto-loot.com, cryptoloot.pro, webmine.pro以及系列网站

·         coinhave: coin-have.com, ws.cab217f6.space系列网站, api.cab217f6.space系列网站

流量趋势

主要的挖矿网站 DNS 流量趋势如下图:

图4

从图中我们可以看出:

·         市场开启于 2017-09,coin-hive.com 和 coinhive.com 先后于 2017-09-15 和 2017-09-28 开始有大量访问

·         市场在持续变大,在2017-10 和 2018-01 分别有两次大的提升

·         最大的玩家是 coinhive 家族,这与之前的观测一致。作为代表的 coinhive.com 网站流行度已经排入Top 2万

·         越来越多的挖矿网站供应商在进入这个市场

另外,最近我们开始观察到,coinhave 家族开始使用一些域名的冗余技术来将流量分散到类如6860c644.space等20个子站上,主站的流量在缩小。

新玩家和新玩法

近期我们注意到一些新的玩法正在这个市场上出现:

·         广告商:有些网站的挖矿行为是广告商的外链引入的

·         壳链接:有的网站会使用一个“壳链接”来在源码中遮蔽挖矿站点的链接

·         短域名服务商:goobo.com.br 是一个巴西的短域名服务商,该网站主页,包括通过该服务生成的短域名,访问时都会加载coinhive的链接来挖矿

·         供应链污染:www.midijs.net 是一个基于 JS 的MIDI文件播放器,网站 源码 中使用了 coinhive 来挖矿

·         自建矿池: 有人在 github 上开源了一段代码,可以用来自建矿池

·         用户知情的Web挖矿:authedmine.com 是新近出现的一个挖矿网站,网站宣称只有在用户明确知道并授权的情况下,才开始挖矿

使用 DNSMon 检测网页挖矿情况的原理和优点

以上展示了我们使用 DNSMon 监控网页挖矿的结果,其监控原理如下:

·         当用户浏览器开打内容网站的网页,并随后立即访问了挖矿网站时,这两个域名的紧密关联关系会被 DNSMon 记录下来

·         在这个案例中,通过对 coinhive.com 相关的网站观察,我们能够识别挖矿相关网站

·         由于内容网站不时切换背后的挖矿网站,所有记录下来的域名就能够连接成一张网络,从而反映整个市场内的玩家情况

使用 DNSMon 检测网页挖矿有以下优点和缺点:

·         优点

·         覆盖广

·         准实时

·         精度高

·         可以利用域名关联网络,通过种子域名扩展发现新的可疑域名

·         对链路劫持后的的支持,也好于传统网页扫描器

·         缺点

·         仅能反映域名之间关联,网页挖矿事实还需要使用其他手段确认

总体而言,利用 DNSmon 系统,我们能够:

·         批量发现可疑站点

·         快速确定挖矿网站

·         定位使用了代码变形、壳链接的挖矿网站。

声明

本文中的标签图,使用 http://cloud.niucodata.com/ 制作


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//