誤點(diǎn)的色情網(wǎng)站,很可能用你的電腦“挖礦”

0×1 概況

近日,騰訊電腦管家發(fā)現(xiàn)有多個網(wǎng)站在其網(wǎng)頁內(nèi)嵌了挖礦JavaScript腳本,用戶一旦進(jìn)入此類網(wǎng)站,JS腳本就會自動執(zhí)行,占用大量的機(jī)器資源以挖取門羅幣,使電腦出現(xiàn)卡慢問題。據(jù)分析,內(nèi)嵌JS挖礦的站點(diǎn)主要有色情視頻、小說、網(wǎng)頁游戲等類型,由于這類站點(diǎn)打開后往往會停留一段時間才出現(xiàn)界面,用戶比較不易感知到機(jī)器卡慢,這也成為不法分子利用該類色情網(wǎng)頁挖礦的原因之一。

0×2 挖礦行為分析

1. 以某色情網(wǎng)站為例,打開后如下

色情網(wǎng)站可能在用你的電腦“挖礦”

圖1. 某色情網(wǎng)站網(wǎng)頁

2. 打開任務(wù)管理器,我們可看到該站點(diǎn)打開后,CPU使用率立馬上升并且一直保持100%狀態(tài)。

色情網(wǎng)站可能在用你的電腦“挖礦”

圖2. CPU使用率上升至100%

3. 查看該網(wǎng)頁源碼,即可找到內(nèi)嵌的JS挖礦機(jī)https://coin-hive.com/lib/coinhive.min.js

色情網(wǎng)站可能在用你的電腦“挖礦”

圖3. 網(wǎng)頁中內(nèi)嵌的JS挖礦機(jī)

色情網(wǎng)站可能在用你的電腦“挖礦”

圖4. 網(wǎng)頁中內(nèi)嵌的JS挖礦機(jī)

4. 該JS挖礦機(jī)是由Coinhive提供的一個服務(wù),采用了Cryptonight挖礦算法挖門羅幣,而Cryptonight算法復(fù)雜、占用資源高,常被植入普通用戶機(jī)器,占用其CPU資源來挖礦。Coinhive每隔數(shù)小時會根據(jù)市場情況,實時調(diào)整門羅幣分配,例如截止發(fā)稿時,官方給出的是0.00015579XMR/MH,根據(jù)門羅幣當(dāng)前價格換算也就是0.0825687RMB/MH。另外,Coinhive會抽取30%的收益,剩余70%的收益則由網(wǎng)站站點(diǎn)收取。

色情網(wǎng)站可能在用你的電腦“挖礦”

圖5. Coinhive收益分配

5. 諷刺的是,Coinhive特別說明不要在不提示用戶的情況下使用該服務(wù),因為用戶的利益比任何公司短期利益都要重要的多;然而實際情況是該服務(wù)已經(jīng)被各個站點(diǎn)濫用。

色情網(wǎng)站可能在用你的電腦“挖礦”

圖6. Coinhive提示:如使用該服務(wù),建議先告知用戶

6. 同時,通過分析發(fā)現(xiàn),Coinhive提供的接口能夠控制CPU使用率,使得CPU使用率不會一直過高,這樣機(jī)器挖礦的同時不會變得明顯卡慢,使挖礦行為更加隱蔽而難以被發(fā)現(xiàn)。

色情網(wǎng)站可能在用你的電腦“挖礦”

圖7. 挖礦機(jī)控制CPU使用率

安全人員進(jìn)一步分析后,發(fā)現(xiàn)有數(shù)百個站點(diǎn)存在內(nèi)嵌JS挖礦機(jī)的情況。

色情網(wǎng)站可能在用你的電腦“挖礦”

圖8. 部分JS挖礦站點(diǎn)

其中大部分都是色情網(wǎng)站

色情網(wǎng)站可能在用你的電腦“挖礦”

圖9. JS挖礦站點(diǎn)類型分布

數(shù)據(jù)顯示,9月中下旬JS挖礦訪問量猛增,盡管本周稍有回落,但是依然有上漲的趨勢。

色情網(wǎng)站可能在用你的電腦“挖礦”

圖10. 9月JS挖礦訪問量趨勢圖

本文經(jīng)授權(quán)發(fā)布,不代表增長黑客立場,如若轉(zhuǎn)載,請注明出處:http://m.allfloridahomeinspectors.com/cgo/market/274.html

(0)
打賞 微信掃一掃 微信掃一掃 支付寶掃一掃 支付寶掃一掃
上一篇 2017-12-01 17:35
下一篇 2017-12-01 22:41

發(fā)表回復(fù)

登錄后才能評論