0×1 概况
近日,腾讯电脑管家发现有多个网站在其网页内嵌了挖矿JavaScript脚本,用户一旦进入此类网站, *** 脚本就会自动执行,占用大量的机器资源以挖取门罗币,使电脑出现卡慢问题。据分析,内嵌 *** 挖矿的站点主要有色情视频、小说、网页游戏等类型,由于这类站点打开后往往会停留一段时间才出现界面,用户比较不易感知到机器卡慢,这也成为不法分子利用该类色情网页挖矿的原因之一。
0×2 挖矿行为分析
1. 以某 *** 为例,打开后如下
图1. 某 *** 网页
2. 打开任务管理器,我们可看到该站点打开后,CPU使用率立马上升并且一直保持100%状态。
图2. CPU使用率上升至100%
3. 查看该网页源码,即可找到内嵌的 *** 挖矿机https://coin-hive.com/lib/coinhive.min.js
图3. 网页中内嵌的 *** 挖矿机
图4. 网页中内嵌的 *** 挖矿机
4. 该 *** 挖矿机是由Coinhive提供的一个服务,采用了Cryptonight挖矿算法挖门罗币,而Cryptonight算法复杂、占用资源高,常被植入普通用户机器,占用其CPU资源来挖矿。Coinhive每隔数小时会根据市场情况,实时调整门罗币分配,例如截止发稿时,官方给出的是0.00015579XMR/MH,根据门罗币当前价格换算也就是0.0825687RMB/MH。另外,Coinhive会抽取30%的收益,剩余70%的收益则由网站站点收取。
图5. Coinhive收益分配
5. 讽刺的是,Coinhive特别说明不要在不提示用户的情况下使用该服务,因为用户的利益比任何公司短期利益都要重要的多;然而实际情况是该服务已经被各个站点滥用。
图6. Coinhive提示:如使用该服务,建议先告知用户
6. 同时,通过分析发现,Coinhive提供的接口能够控制CPU使用率,使得CPU使用率不会一直过高,这样机器挖矿的同时不会变得明显卡慢,使挖矿行为更加隐蔽而难以被发现。
图7. 挖矿机控制CPU使用率
安全人员进一步分析后,发现有数百个站点存在内嵌 *** 挖矿机的情况。
图8. 部分 *** 挖矿站点
其中大部分都是 ***
图9. *** 挖矿站点类型分布
数据显示,9月中下旬 *** 挖矿访问量猛增,尽管本周稍有回落,但是依然有上涨的趋势。
图10. 9月 *** 挖矿访问量趋势图
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。