黑客是如何利用你的瀏覽器進行挖礦的?

　　0×1 概述

　　近期，千裡目安全實驗室監測到了一大批網站系統被惡意植入了網頁挖礦木馬，只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點，瀏覽器會即刻執行挖礦指令，從而淪為殭屍礦機，無償的為網頁挖礦木馬植入者提供算力，間接為其生產虛擬貨幣，這是一種資源盜用攻擊。由於網頁挖礦木馬存在很廣的傳播面和很不錯的經濟效益，因此、廣受黑產團體的追捧，讓我們對它防不勝防!

　　0×2 千裡百科

　　區塊：在區塊鏈網絡上承載交易數據的數據包。它會被標記上時間戳和之前一個區塊的獨特標記。區塊頭經過哈希運算後會生成一份工作量證明，從而驗證區塊中的交易。有效的區塊經過全網絡的共識後會被追加到主區塊鏈中。

　　區塊鏈：狹義來講，是一種按照時間序列將數據區塊以順序相連的方式組合成的一種鏈式數據結構，並以密碼學方式保證的不可篡改和不可偽造的分布式帳本。

　　礦機：礦機是挖礦機器的簡稱，就是用於賺取數字貨幣的計算機，這類計算機一般有專業的挖礦晶片，多採用燒顯卡的方式工作，耗電量較大。個人計算機可以通過挖礦軟體來運行特定的算法產生算力(俗稱挖礦)來獲得相應數字貨幣。

　　礦池：由於單一礦機想挖到一個塊的機率是非常小的，通過礦機聯合挖礦以提高几率。一個礦池的算力是很多礦機算力的集合，礦池每挖到一個塊，便會根據你礦機的算力佔礦池總算力的百分比，發相應的獎勵給到個體，也不會存在不公平的情況。

　　挖礦：挖礦是反覆嘗試不同的隨機數對未打包交易進行哈希，直到找到一個隨機數可以符合工作證明的條件的隨機數，以構建區塊。如果一個礦工走運並產生一個有效的區塊的話，會被授予的一定數量的幣作為獎勵。

　　錢包：錢包指保存數字貨幣地址和私鑰的軟體，可以用它來接受、發送、儲存你的數字貨幣。

　　0×3 家族樣本分析

　　千裡目安全實驗室通過持續對全網進行安全監測，發現近期有如下十種家族的網頁挖礦木馬的傳播比較活躍。詳情分析如下所示：

　　1、Coinhive家族網頁挖礦木馬介紹：

　　Coinhive是一個專門提供挖礦代碼的JS引擎，在被攻擊網站的網頁內嵌一段JS挖礦代碼，只要有人訪問被攻擊的網站，JS挖礦代碼就會通過瀏覽器上執行挖礦請求，佔用大量的系統資源，導致CPU資源利用率突然大幅度提升，甚至100%。在這過程中網站只是第一個受害目標，而網站的訪問者才是最終的受害目標。

　　1.1、Coinhive家族網頁挖礦木馬代碼，如下所示：

　　1.2、執行JS挖礦代碼前後的效果，如下圖所示：

　　1.3、通過快捷鍵(Shift+ESC)來查看瀏覽器的任務管理器，發現正是剛打開的「XMR Mining Page」網站頁面佔用了98.4%的CPU資源，正在瘋狂的挖礦。如下圖所示：

　　2、JSEcoin家族網頁挖礦木馬介紹：

　　JSEcoin是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。但是與後者不同的是，JSECoin會將CPU使用率限制在15%至25%之間，並且始終顯示隱私聲明，為用戶提供退出選項(可選擇不提供運算服務)。

　　2.1、JSEcoin家族網頁挖礦腳本代碼，如下所示：

　　2.2、通過對JSEcoin挖礦代碼進行調試，發現執行完挖礦代碼後會持續接收到需要運算的任務，如下圖所示：

　　2.3、通過進一步跟蹤運算過程，發現其通過WSS協議來獲取區塊的計算任務，然後將結果進行回傳效驗，校驗通過的會顯示OK標記。如下圖所示：

　　3、CryptoLoot家族網頁挖礦木馬介紹：

　　CryptoLoot是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。不過CryptoLoot平臺的佣金比Coinhive平臺的佣金低很多，這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

　　3.1、CryptoLoot網頁挖礦腳本代碼，如下所示：

　　3.2、CryptoLoot網頁挖礦腳本代碼參數介紹，如下所示：

　　miner.min.js：為JS挖礦腳本。

　　85e693dfe57edbdf8f53640b4c0b0d257513a504c503：為SiteKey,可以理解為JS挖礦引擎識別站點的唯一標識。

　　threads(value)：指挖礦運算所啟用的線程數量。這裡的值為3，即表示啟用3個線程進行挖礦運算。

　　autoThreads(value)：這裡的Value可以設置為true和false，當設置為true時，表示自動檢測用戶計算機上可用的CPU內核數量。

　　throttle(value)：這裡的value是設置線程閒置時間比例的。如果值為0，即表示不進行節流(即進行CPU滿載運算)。這裡的值為0.2即表示將在20%的時間內保持空閒狀態。

　　4、DeepMiner家族網頁挖礦木馬介紹：

　　DeepMiner是一個開源的JS挖礦項目，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。

　　4.1、DeepMiner網頁挖礦腳本代碼，如下所示：

　　4.2、DeepMiner網頁挖礦腳本同源分析：

　　DeepMiner是一個已經被開源了的項目，通過分析，發現上面的挖礦腳本代碼為此開源項目修改而來(開源項目地址為：https://github.com/deepwn/deepMiner)。

　　5、Webmine家族網頁挖礦木馬介紹：

　　Webmine也是一個與Coinhive類似的JS挖礦引擎，在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。

　　5.1、Webmine網頁挖礦腳本代碼，如下所示：

　　5.2、訪問JS挖礦站點時，發現CPU使用率劇增，隨後退出對JS挖礦站點的訪問，發現CPU的使用率一下子就降下來了。如下圖所示：

6、AuthedMine家族網頁挖礦木馬介紹：

　　AuthedMine也是一個與Coinhive類似的JS挖礦引擎，在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。

　　6.1、AuthedMine網頁挖礦腳本代碼，如下所示：

　　6.2、 AuthedMine網頁挖礦腳本與之前的幾種相比有比較大的改進，大致如下3點：

　　設置了線程閒置時間比例，這樣不容易被礦機受害者發現和察覺。

　　設置了挖礦設備類型，只對非行動裝置進行挖礦運算，防止手持終端設備被卡死。

　　設置了挖礦運算時間，只挖礦4小時，避免長時間CPU過高而遭暴露。

　　7、BrowserMine家族網頁挖礦木馬介紹：

　　BrowserMine是一個與DeepMiner類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。

　　7.1、BrowserMine網頁挖礦腳本代碼，如下所示：

　　7.2、 執行JS挖礦代碼前後的效果，如下圖所示：

　　8、Coinimp家族網頁挖礦木馬介紹：

　　Coinimp是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。稍有不同的是Coinimp的平臺費用基本免費，而且JS挖礦腳本可以重置為任意名字存放在本地，偽裝性更高。

　　8.1、Coinimp網頁挖礦腳本代碼，如下所示：

　　8.2、Coinimp網頁挖礦腳本代碼與之前的幾個有一個明顯的區別就是SiteKey值變成了64位，同時，JS挖礦代碼可以保存到本地存儲了，訪問參數與JS腳本名稱可以自行定義。

　　9、CryptoWebMiner家族網頁挖礦木馬介紹：

　　CryptoWebMiner是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。不過CryptoWebMiner平臺的佣金比Coinhive平臺的佣金低很多，這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

　　9.1、CryptoWebMiner網頁挖礦腳本代碼，如下所示：

　　9.2、CryptoWebMiner網頁挖礦腳本代碼結構與Coinhive很類似，但支持的幣種比較多，主要有BTC、ETH、ZEC、ETN、XMR。另外，它支持的平臺也很多，分別為手機端挖礦、PC端挖礦、WEB端挖礦，可見傳播面很廣。

　　10、PPoi家族網頁挖礦木馬介紹：

　　PPoi是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘數字貨幣進行牟利。

　　10.1、PPoi網頁挖礦腳本代碼，如下所示：

　　10.2、通過訪問PPoi平臺官方地址，發現已經被Google GSB加入黑名單了。如下所示：

　　0×4 趨勢分析與統計

　　1、我們通過對分析過的網頁挖礦木馬代碼特徵，使用FOFA對全球所有在線Web應用系統進行統計，發現有60742892個Web應用被惡意掛載了網頁挖礦木馬。如下為全球TOP10地域的網頁挖礦木馬感染量和分布情況。詳情如下所示：

　　統計數據來自於FOFA平臺

　　2、進一步通過這些網頁挖礦木馬的代碼特徵來對中國境內所有在線Web應用系統進行分析和統計，發現有4557546個Web應用被惡意掛載了網頁挖礦木馬。如下為中國境內TOP N地域的網頁挖礦木馬感染量和分布情況。詳情如下所示：

　　統計數據來自於FOFA平臺

　　0×5 安全建議

　　ü 定期對伺服器中的數據做備份，看到類似以上10種形態的可疑腳本代碼，需提高警惕(這很可能意味著我們的站點和服務被入侵了 )，找專業的安全人員來做分析和處理。

　　ü 如在伺服器中發現存在可疑的後門或惡意代碼，需做全局的排查和清理，然後再做安全加固工作。

　　ü 定期主動對伺服器及伺服器中的應用進行安全評估，及時發現潛在的風險，並及時處置和修復。

　　0×6 IOCs

　　C2：

　　https://coinhive.com

　　https://coin-hive.com

　　https://webmine.cz

　　https://webmine.pro

　　https://munero.me

　　https://load.jsecoin.com

　　https://browsermine.com

　　https://authedmine.com

　　https://crypto-loot.com

　　https://cryptaloot.pro

　　https://ppoi.org

　　URL：

　　https://coinhive.com/lib/coinhive.min.js

　　https://coin-hive.com/lib/coinhive.min.js

　　https://crypto-loot.com/lib/miner.min.js

　　https://cryptaloot.pro/lib/miner.min.js

　　https://authedmine.com/lib/authedmine.min.js

　　https://ppoi.org/lib/projectpoi.min.js