比特币等加密货币, 门罗,以太坊, 莱特币, and 特佐斯 are in 充分 摇摆。 他们成倍增加 加密货币挖矿 (要么 加密货币矿业) 活动。先前, 加密货币矿业 是由功能强大且专用的采矿硬件或利用分布式计算完成的,因为 的 整个过程需要 a 很多计算。然而, 采矿趋势发生了明显变化. 现在,网络b赛艇运动员正在参加 加密货币矿业 并且它的活动正在增长,因为浏览器挖掘中使用的计算能力是 比硬件挖掘所需的要少得多。使用 网路 用于挖掘加密货币的浏览器称为 浏览器内 加密劫持.
Quick Heal 安全 Labs遇到了一些受欢迎的网站,这些网站受到Coinhive浏览器挖掘服务的损害。
什么是 Coinhive?
Coinhive是一种浏览器挖掘服务,可为‘Monero’ blockchain. 它可以轻松地嵌入网站中。当用户访问Coinhive注入的网站时,矿工服务将在Web浏览器中执行并开始挖掘Monero XMR’s.
我们怀疑许多企业通过将一段Javascript代码集成到他们的网站中来使用此浏览器挖掘服务,这会消耗访问者的CPU时间和精力来挖掘XMR(Monero)进行Coinhive。作为回报,Coinhive向网站所有者支付了一定比例的开采价值。
我们的分析
在Quick Heal 安全 Labs,我们注意到著名的Torrent搜索引擎的一个代理服务Pirate Bay被注入了Coinhive矿工服务。下图1显示了注入到海盗湾网页中的内容。
根据Coinhive的官方信息,‘OT1CIcpkIOCO7yVMxcJiqmSWoDWOri06’是用户站点密钥,而油门用于限制CPU使用率。以下是油门水平。
油门:0– CPU 使用限制为100 %
油门:0.3–CPU使用率限制为80%
风门: 0.5–CPU使用率限制为50%-70%
访问海盗湾网站后,CoinHive.min.js被执行并开始挖掘。根据其定义的油门级别,CPU使用率已达到其限制。在某些网站中,将其定义为0.5,以便浏览器的特定实例将占用50%-70%的计算量。图2显示了访问Pirate Bay网站后浏览器和整个系统的CPU使用情况活动。
观察到的另一件重要事情‘CoinHive.min.js’ file is 的 用于 Web组装. 它专门在 网路 浏览器。相似 到一个 低级组装运行的ike语言 具有接近本机的性能,这是在挖掘功能实现中使用Web程序集的主要因素。
Web组装使用 CryptonightWASMWrapper Web程序集哈希函数生成哈希。它是一种有效的可计算函数,它将任意大小的数据映射到固定大小的数据,并且其行为类似于随机函数。
这种挖矿活动不是恶意的,但它在未经系统所有者批准的情况下运行,并且消耗CPU功率,从而降低了系统性能。这极大地困扰了用户并阻碍了工作。
序列 d保护
- 序列已发布通用检测以检测此类浏览器内的Cryptojacking攻击。
- 这些常规检测跨越我们产品中的多个安全层。
检测sta
序列已成功阻止检测到的Coinhive矿工活动。以下是迄今为止最近几周观察到的趋势。
浏览器内挖掘确实是一种为网站所有者和服务提供商挖掘收入的简便方法。像Coinhive一样,JSEcoin,MineMyTraffic,CryptoLoot和CoinNebula等其他服务提供商也参与其中。浏览器内挖矿不是恶意活动,但未经允许的挖矿和CPU大量使用不应被允许。此外,破坏一个受欢迎的网站可能会妨碍许多用户。
恶意软件作者正在使用这些挖掘服务来满足他们的恶意需求。我们建议用户避免浏览可疑网站并保持其防病毒软件处于最新状态,以防止您的系统被用于此类挖掘活动中。
参考文献
//www.james-blunt.net/blog/massive-campaign-delivering-monero-miner-via-compromised-websites/
//www.james-blunt.net/blog/beware-of-fake-cryptocurrency-mining-apps-a-report-by-quick-heal-security-labs/
主题专家
Prashant Kadam |快速修复安全实验室
没意见