近日,陕西多家企业网站被植入JS网页挖矿木马。可以得知,陕西某燃气热力协会网站,最初被植入了JS网页挖矿木马。当相关机构进一步找到该网站的运营机构——Xi安长庚网络科技有限公司时,发现该公司设计的多个网站被植入了一个JS网页挖矿木马。
网页被嵌入挖矿代码,不排除有人故意利用这些企业网站谋取私利,也可能是网站被黑的迹象。
据曲苏未来安全区介绍,全网内置挖矿码的网站超过3万个。只要用户打开网站浏览操作,网站就会调用电脑或手机的计算资源进行挖掘。世界上大约有5亿台电脑被我绑架了。
挖掘门罗硬币
浏览采矿代码。很多都是门罗币。门罗币使用的是Cryptonight的挖掘算法,非常适合在普通电脑上运行,所以黑客们为其制定了完美的盈利计划。
他们用javascript写代码,当用户加载一个网站时,他们也会加载挖掘代码。根据最大的门罗币矿代码提供商Coinhive的数据,他们的代码运行效率是门罗币矿机的65%左右,未来还有提升空间。
虽然用户在访问网站的过程中只能贡献一点点计算能力,但是积少成多,访问越多,赚钱越多。
很多挖矿代码提供商都有计算器,供开发者预测收入。如果你的网站每天有10-20个用户访问,每天可以赚0.3 XMR,大概270人民币,每个月8100人民币。
此前,著名BT资源下载网站海盗湾被曝网站内置了门罗币的挖矿代码。直接傲慢地在海盗湾的网站上宣布:“只要你进入海盗湾的网站,你就同意我们用你的CPU开采门罗币。如果不同意,可以马上离开或者安装广告拦截器。”
不过这段话只能在海盗湾网站底部看到,还特意调成了小字号。换句话说,即使你只是打开海盗湾看看有没有更新的资源,你的电脑cpu使用率也会瞬间飙升到100%,为海盗湾网站提供计算能力产生收入,直到你关闭网站。
目前流量少的网站,每天能多赚几块钱的额外收入,很多能达到几千元。如果你觉得自己的电脑和手机在上网的时候莫名其妙的发热,那么你就要考虑是不是被网站用来挖矿了。
在总结了warp future安全区之后,以下是最容易被黑客盯上并植入挖矿木马的几大目标:
目标一:色情网站
据了解,植入挖矿代码的网站中,有68%是色情网站。
除此之外,这些网站还有更进一步的做法,他们会让挖矿代码在关闭浏览器后依然运行。因此,即使用户找到这些挖矿网站,关闭浏览器,相关代码仍然可以继续运行,占用CPU资源。
事实上,关闭浏览器后,挖掘代码仍然在系统中隐藏一个窗口,继续执行。此窗口将隐藏在系统任务栏的系统时间上方。用户可以解锁任务栏,增加任务栏宽度,就会出现隐藏窗口,关闭后挖矿代码就会停止运行。
目标2:大学成绩查询系统。
除了网站所有者添加挖矿代码,还有黑客侵入其他网站服务器,在代码中恶意植入挖矿木马。高考结束后,很多高校的网站都被黑客攻击过,考生在查询考试成绩的时候应该给黑客投稿。
因为评分网站有时间把分数公开,大量考生会打开自己的网页等待排名的发布,所以这类网站比其他博客等网站更受欢迎。一次,官网,山东湖北河南黑龙江某重点大学,被发现植入挖矿木马。
目标3:游戏插件
此外,很多游戏外挂的开发者还会在外挂中植入挖矿木马,这样会吸引很多贪小便宜的用户。除了电脑,安卓手机上还有大量含有挖矿木马的app。
矿码背后的黑色产业链
挖矿代码和挖矿木马背后其实有一个完整的产业链,服务非常完善。
其实这个功能不是网站开发者自己开发的,都是使用网站挖掘服务商提供的接口。开发者只需要把那串代码插入到网页代码中,就可以享受收益了。
Web挖掘服务提供商为网站开发者提供各种挖掘服务,如验证码挖掘、短链接访问、静默挖掘等。只要你敢来,瞬间就能占据你100%的电脑资源。
任何产品都有迭代的空间。于是,CoinHive等web挖掘服务提供商也在不断进化自己的产品,让网站开发者可以更好地隐藏使用用户电脑进行挖掘的事实,为用户提供更好的服务。
比如很多网站为了防止垃圾评论,会通过点击验证码来拦截机器人。CoinHive提供了类似的反作弊模块。当用户点击此按钮时,将打开网页进行挖掘,验证完成后,挖掘将停止。
如果用户真的愿意等待发帖或登录,完全可以接受十几秒的验证时间,但代价是电脑CPU在十几秒内全火到开矿,温度瞬间升高几十度。
除了上面的介绍,近年来,在网站或app上利用隐藏挖矿码引诱用户挖矿的操作,早已积累了厚厚的犯罪记录。
Coinhive通过JS代码在网站上挂一个挖矿程序。
9月18日,媒体曝出全球最大的BT下载网站海盗湾(The Pirate Bay)利用嵌入其网页的Javascript程序(一种JS代码),以挖掘虚拟货币即挖矿为目的,“借用”浏览器的电脑。
这种行为会使网站的浏览器在浏览网站时运行挖矿程序的JS代码,导致在浏览插入挖矿代码的网站时CPU占用率很高,甚至100%满负荷运行。
那么如何通过js代码让网站挖矿呢?在Coinhive (https://coin-hive.com/)的网站上,它提供了一个挖掘的js引擎。钱的名字叫XMR,一个XMR的价格大概是95美金!这个网站提供了丰富的设置,可以通过调整来限制挖矿时的CPU使用率。如果CPU利用率降低,访问者在访问网站时不看网站代码就很难找到。默认情况下,只要有人访问网站,挖掘程序就会工作。
这种网站变现方式的好处是可以避免在网站上挂一些恶心的广告来实现盈利。缺点是会占用用户的CPU,增加功耗,严重的会导致访客电脑卡顿。
使用的主要代码如下:
2017年3月,Coinhive的代码网站遭到黑客攻击,访客设备的处理能力被盗。当时,许多安全公司将加密货币挖掘服务Coinhive视为网络用户的最大威胁。
Coinhive是一种加密货币挖掘服务,它依赖于网站中嵌入的一小段代码。该代码借用访问网站的浏览器的部分或全部计算能力,将机器列入开采Monero加密货币的投标系统。
Monero和比特币的区别在于交易不可追踪,外人无法追踪双方的Monero交易。自然,这一特性使得Monero对网络罪犯特别有吸引力。
Coinhive随后发布了其挖掘代码,声称站长可以在不投放侵入性和恼人的广告的情况下赚钱。但没过多久,Coinhive的代码就成为了很多安全公司追踪的排名第一的恶意软件,因为大多数情况下,代码都是安装在被黑的网站上的,主人并不知情,也没有授权。
就像被恶意软件或木马感染一样,Coinhive的代码经常会锁定用户的浏览器,耗尽设备的电池。只要访问者浏览网站,它就会全程挖掘Monero。
当时因为比特币等虚拟货币的价值持续上涨,29日甚至涨到了11000美元,采矿业复兴。大家看到有利可图的一面,纷纷加入挖矿大军。
所以当时有这么一批以成人网站为主的挖矿网站。
当用户访问此类网站时,电脑CPU占用率会突然增加,但并不会吞噬性能。他们希望通过这种方式,在电脑变慢、卡顿后,减少用户的怀疑,让电脑仍然可以正常使用。
或者,遇到相应的情况,也可以通过系统任务管理器关闭相应的进程,停止相关代码运行。
星巴克证实,顾客在其布宜诺斯艾利斯分店连接互联网时,第一次连接WiFi时会有10秒左右的延迟。在这个空档期,黑客可以在用户不知情的情况下挖走数字货币。
不过,目前还不清楚谁是幕后黑手,涉案恶意软件被植入多长时间,以及有多少用户受到影响。
挖矿的技术方面可以这样解释:黑客有一个可以对WiFi网络进行自主攻击的脚本,因为这是一个可以在咖啡馆的WiFi网络中进行的攻击。这种攻击是将一些设备连接到WiFi网络,攻击者会在连接过程中拦截用户与路由器之间的流量。
综上所述,我们可以看到,黑客为了实现发家致富的梦想,可以不择手段(甚至可以把矿机放在特斯拉汽车里,接上充电桩)。所以,花心的滥用就成了家常便饭。
扭曲视图:
需要注意的是,目前自动化攻击已经成为主流,大部分攻击都是黑客通过自动化工具完成的。黑客不会专门针对某个网站发动攻击,所以对他们来说成本大于收益。
随着黑客技术水平的提高,很多网站都存在这样或那样的漏洞,黑客很容易大量感染这些安全性差的企业。
所以网站管理员和网民要时刻保持警惕,避免漏洞被黑客利用。