本帖最后由 Hill_李胜阳 于 2022-9-16 11:32 编辑
近期“网页挖矿”出现在了我们的视野网页挖矿是一种利用网站前端javascript进行挖矿的一种行为。目前大都利用CoinHive和JSEcoin这两个手段进行网页挖矿,除此之外还有利用Webmine,Cryptoloot,Webmine等相关字段进行挖矿。
通过对近期出现的“网页挖矿”事件的分析发现几乎都是利用这几种动作相关联。整个攻击过程一般都是通过某些web漏洞,对网站的文件进行篡改,这个操作往往不需要太高的系统权限,整个过程也非常容易操作。
处于好奇心趋势,搭建了个简单的环境验证了一下。希望大家批评和指教^_^。
一、网页挖矿演示 演示环境:Windows 7 恶意域名:[url=https://vibaike[.]com/118156]
1、操作前,让我们看下当前机器的任务管理器,可以看出CPU在10%左右(正常) 2、使用浏览器访问带有恶意域名的网站——注:恶意相关动作一般不会直接显示在网页界面。 3、当我们打开页面浏览器,可以看到CPU已经达到了75%的频率
![]()
随后再刷新页面尝试,页面CPU暴增至92%(异常)
关闭异常页面后CPU变为正常频率 4、深信服威胁情报中心判断该域名为安全,试想安全的情况下会触发安全事件吗?判断可能该页面存在内嵌恶意域名。 二、页面疑似挖矿行为分析 5、通过进入开发者模式排查疑似内嵌域名信息。黄色选框疑似完整域名都要确认。 6、此处略去一部分域名验证信息......。经过一番筛查发现定位到恶意域名。 经过多方威胁分析平台验证该域名为恶意域名——深信服威胁分析平台 微步在线分析平台 三、页面恶意域名阻断 7、防护及有效性检测(封堵恶意域名或者IP)对恶意域名进行封堵后,物理机器无法访问恶意域名,进而也无法加载恶意域名,CPU频率也无法和[url=http://www.hiprofitnetworks[.]com]建立连接。 对于页面挖矿或者访问恶意域名的这些动作,最有效最直接的阻断方式就是在防火墙封禁恶意域名或IP动作。 四、页面恶意/挖矿防范措施
恶意网站在网页植入挖矿木马,用户访问了植入的网页后,浏览器会解析脚本进行恶意动作。作为用户,无法判断访问的网站是否存在挖矿脚本,一些正规的网站也存在被黑客攻击,篡改代码植入挖矿脚本,让我们防不胜防。作为终端使用者,真的没有解决的方法吗?非也,下面给大家介绍几款具备防“挖矿”功能的浏览器,使用正确且配置了防护策略的浏览器能很好的帮助我们规避“浏览器挖矿”,避免被安全部门通报。
一、Microsoft Edge 浏览器(Windows 10和11自带浏览器)
页面访问:edge://settings/profiles,点击左上角“设置”,再点击“隐私、搜索和服务”,在 安全性中启用“Microsoft Defender Smartscreen”和 “阻止可能不需要的应用”的选项。
![]()
二、Chrome 浏览器,或者基于 chrome 内核的浏览器
安装Adblock、Adblocker、ADP 等广告拦截插件来实现恶意代码拦截。比如 AdBlocker 在去年网页挖矿最泛滥的那段时间就更新了算法,在插件中加入了挖矿代码拦截,用户可以免费使用这些拦截插件。 除了浏览器自带的安全性选项,还可借助插件工具来实现防护效果。 ![]()
例:Adblocker插件工具
![]()
三、火狐浏览器
默认开启拦截危险与诈骗内容功能,可点击浏览器右上角“…”菜单按钮,再点击“设置 -> 隐私与安全”,确认开启“欺诈内容和危险软件防护”。 五、比网页挖矿危害更大的本地“恶意”病毒
所谓“本地”病毒就是一些应用程序类的软件,因为他进程会在你使用终端的任意时刻进行执行,达到无感知执行相关侵害动作,不同的病毒触发的途径也有所变化。规避方式也有所不同。上面做的安全测试就是我们日常经常碰到的感染和触发的点。
黑产从业者会通过各种途径将“挖矿”病毒植入用户的电脑或服务器中,利用这些电脑或服务器的运算力进行挖矿。感染原因一般包括:用户浏览访问含有mine、monero等关键词的可疑挖矿域名,用户下载并运行了带有病毒的盗版软件,黑客通过暴力破解操作系统的ssh、ftp、telnet等服务的弱口令,或漏洞利用进入操作系统等,从而获取主机权限,并在内网进行横向扩展。
“挖矿”病毒被植入主机、服务器后,利用这些服务器的运算力进行挖矿,主要体现在主机服务器CPU使用率高达90%以上,主机服务器出现卡顿、高温甚至宕机;有大量对外进行暴力破解的日志记录,或在非工作时间,主机有规律地对境外IP有较多访问记录等。
六、针对本地“恶意/挖矿”病毒防范建议
一、虚拟货币存在风险。根据国家等部门发布的通知、公告,虚拟货币不是货币当局发行,不具有法偿性和强制性等货币属性,并不是真正意义上的货币,不具有与货币等同的法律效应、属于政策重监管的领域,大家应树立正确的货币观念和投资理念,综合提高风险意识。
二、请各员工安装合法的杀毒软件,并及时升级至最新病毒库,养成定时进行全盘病毒查杀的习惯。其中Linux服务器推荐使用ClamAV或其他合适的杀毒软件进行病毒查杀。
三、及时更新操作系统、修复漏洞补丁,开启操作系统自身防火墙。
四、提高系统密码强度;检查所有系统用户密码是否满足密码复杂度要求:8位以上,包含大小写字母+数字+特殊符号组合;尽量避免一套账号密码走天下,并做好账号权限分离。
五、科研、业务、管理核心数据等重要文件务必定期做好备份。
六、定期检查服务器是否存在异常,查看范围包括但不限于:是否有新增账户、未知进程;系统日志是否存在异常;杀毒软件是否存在异常拦截情况等。
七、提高信息网络安全意识,切实做到依法上网、文明上网、守法用网。不打开来历不明的邮件附件、QQ或微信文件,不安装来历不明或盗版软件,不点击不明链接。
七、帖子心得 各位社友觉得帖子内容有料就点点赞呢。让更多人的社友以及客户运维/使用者看到帖子内容,也希望这个帖子能够使我们避免日常使用的终端设备和较容易遭受到的数据损害风险。同时帖子内容面向网络较为基础的同事也能够有一定的效果。从而做好终端日常使用防护,提升网络安全综合意识!
| 
发表于 2024-1-8 19:28
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员2级 
