頁:
[1]
關於下載空間「OPENLOAD」已變挖礦溫床?
本帖最後由 world8 於 2018-12-7 07:29 AM 編輯關於下載空間「OPENLOAD」已變挖礦溫床?
請問各位對此有甚麼看法?
安全脈博
openload.co等網站繞過CoinHive使用客戶端瀏覽器算力挖取門羅幣
Web安全 360核心安全 2018-01-02 3,224
從2017年12月24日,360網絡安全研究院注意到一組網站正在濫用客戶終端瀏覽器的算力在挖礦。攻擊者在利用了 CoinHive 的瀏覽器端挖礦代碼基礎上,完全繞過 CoinHive 自己運營,避開CoinHive 的抽成費用。提供挖礦服務的域名成組出現,共計22個,最早活動時間是2017-11-29。
涉及使用上述挖礦服務的網站,包括openload.co,oload.stream,thevideo.me,streamcherry.com,streamango.com。其中,openload.co 網站的Alex排名為136,流行程度非常高,這意味著全球范圍內有較多的終端用戶算力會被攻擊者攫取。
5個異常域名
dnsmon 是我們的dns異常檢測系統。在2017-12-24日,系統報告了一組域名的訪問異常,這組域名和對應的訪問曲線如下:
do69ifsly4.me
hzsod71wov.me
kho3au7l4z.me
npdaqy6x1j.me
vg02h8z1ul.me
提供挖礦服務的域名成組出現,共計22個
提供了前述挖礦服務的域名不止前述 5 個,基于 dnsmon 我們進一步尋找到成組出現的22個。詳細列表見后面的 IoC 部分。
總結這些挖礦服務域名的特點:
最早出現在 2017-11-29;
這些域名的訪問流行度不算低,並且隨著時間推移流行程度持續上升;
新域名定期出現,同時老的域名仍然被使用;
共計22個域名中的20個域名是5個一組的,2個域名例外。我們追溯了 javascript 代碼,確認WebSocket服務列表包含了7個域名;
域名看起來有點類似 DGA ,但是跟既往常見惡意代碼的 DGA 生成和使用機制並不相同。
IoC
提供挖礦服務的域名:
0aqpqdju.me
5vz3cfs0yd.me
6tsbe1zs.me
8jd2lfsq.me
aqqgli3vle.bid
avualrhg9p.bid
c0i8h8ac7e.bid
do69ifsly4.me
fge9vbrzwt.bid
hzsod71wov.me
iisl7wpf.me
kho3au7l4z.me
npdaqy6x1j.me
ny7f6goy.bid
r8nu86wg.me
uebawtz7.me
vcfs6ip5h6.bid
vg02h8z1ul.me
vjcyehtqm9.me
vl8c4g7tmo.me
xgmc6lu8fs.me
zgdfz6h7po.me
使用上述挖礦服務的網站:
openload.co
streamcherry.com
streamango.com
thevideo.me
thevideo.me ...<div class='locked'><em>瀏覽完整內容,請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div>
頁:
[1]