新型浏览器挖矿技术可在浏览器窗口关闭的情况下持续挖矿

写在前面的话

在之前的文章中,我们给大家介绍了基于Web的挖矿恶意软件的相关内容。通过观察发现,越来越多的攻击者开始使用臭名昭著的Coinhive服务(允许网站使用目标用户硬件资源挖门罗币)来实施攻击了。与此同时,越来越多的服务器和 服务插件开始受到了挖矿型恶意软件的感染。

对于之前可持续性感染的挖矿型恶意软件,我们之前所分析的基于Web的恶意挖矿软件最大的缺点就是无法在目标系统中持续挖矿。实际上,当用户关闭了浏览器之后,它们的挖矿活动将会停止,并影响攻击者的收益。

但是,我们近期发现了一种新型浏览器挖矿技术,而这种技术可在浏览器窗口关闭的情况下持续挖门罗币。我们对多款浏览器进行了测试,其中包括最新版本的Chrome。我们发现:

  1. 当用户访问了恶意网站之后,该网站可在后台悄悄加载挖矿代码。
  2. CPU占用率上升,但不会到100%。
  3. 用户浏览完毕,关闭Chrome窗口。
  4. CPU活动仍保持高占用率,因为挖矿活动仍在进行。

在这种技术中,虽然浏览器窗口已经被关闭,但还有一个隐藏窗口仍处于打开状态,因为恶意代码会创建一个浏览器窗口,并将其隐藏在任务栏右下角的时间后面,隐藏窗口会基于用户屏幕的分辨率来进行调整,适配规则如下:

  1. 水平位置= (当前屏幕 x分辨率) -100
  2. 垂直位置= (当前屏幕y分辨率) -40

如果Windows主题允许任务栏透明,那么细心的用户可能就会发现这个隐藏窗口了:

揭开“神秘面纱”

通过分析网络流量,我们就可以了解到这种流氓浏览器窗口是从何而来的,并且知道它加载了哪些恶意内容。

隐藏窗口(elthamely[.]com)是由广告网络服务商Ad Maven启动的,它负责从Amazon(cloudfront[.]net)加载资源。这并不是第一个托管在AWS上的挖矿恶意软件,但是它还可以从其他域名(hatevery.info)获取Payload。

我们从网页代码中发现了部分直接从Coinhive文档中拷贝过来的函数,例如.hasWASMSupport(),它负责检查浏览器是否支持WebAssembly。如果不支持的话,它将恢复使用较低版本的JavaScript(asm.js)。

恶意代码会从hatevery[.]info下载WebAsembly模块(.wasm),其中包含了指向cryptonight(用来挖门罗币的API)的引用。正如之前所提到的,挖矿活动并不会占用掉目标用户设备的所有资源,这样才能尽可能地让恶意活动不被发现。

感染可持续

需要注意的是,这种基于浏览器的挖矿恶意软件可以绕过大多数广告屏蔽工具,再加上它使用了这种“卑鄙”的小伎俩来隐藏自己,所以它并不容易被发现。除此之外,右键点击任务栏的浏览器图标并选择“关闭窗口”也没办法彻底终止它的运行。可能某些懂技术的用户会打开任务管理器并终止所有的浏览器进程运行,但终止之后任务栏的浏览器图标仍然会存在,这表明该恶意软件仍处于运行状态。

此类攻击将越来越常见

自Coinhive首次出现的两个月之后,基于浏览器的挖矿恶意软件仍然非常受攻击者的欢迎。因此,我们建议广大用户可以尝试下载更多的广告屏蔽软件、插件、以及其他安全防护产品来保护自己的安全。

入侵威胁指标IoC

CryptonightWebAssembly模块:

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-12-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏听雨堂

简单账本-用完即走的微信小程序

        作为一个记账强迫症患者,对当前手机中的记账App都不太满意。这类软件越来越臃肿,越来越慢,启动要半天、联网同步要半天,进入界面又有一堆新功能要介...

28060
来自专栏小白课代表

安啦,不要再慢腾腾地从百度搜索软件下载了。

相信很多人都有过这样或类似这样的经历:刚刚装完系统,自己的电脑空白一片,需要装许多日常软件,使用搜索网站一个一个搜索,找到官网后再找到对应的下载按钮,可以说是很...

18650
来自专栏点滴积累

微信小程序项目踩过的几个坑

一、前言 近期,开始了一段辛酸的还未开始就已经结束的“创业”(参见我的第二次创业,以梦为马,莫负韶华)。大体上是开发了一款微信小程序,关于创业这件事情就不细说了...

59550
来自专栏小白安全

检测是否含有挖矿脚本的WiFi热点

前几日看到一则新闻,一家星巴克店内无线网络被发现植入了恶意代码,劫持网络流量利用用户设备挖掘门罗币(XMR)。 ? 与加密货币相关的安全事件总是引人注目...

31340
来自专栏Kurt Niu 的博客

自己制作一个USB自动挖矿器

这时候你只需要花十块钱制作如下设备,然后钻到桌子底下装作系鞋带, 把设备插到他主机箱后边的USB接口,倒数三秒钟,再拔下来... 这时候他的电脑CPU已经占用...

21320
来自专栏FreeBuf

浅谈非PE的攻击技巧

背景 近日,金山毒霸安全中心捕获到一例利用邮件传播的非PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上的文档、图片、视频等重要文件...

36870
来自专栏FreeBuf

QQ三国盗号木马分析报告

近年来网络游戏越来越火,人们充值大量金钱玩一个心爱的游戏已成常态,所以有些游戏账号非常值钱,特别是QQ三国这种每次更新都要氪金的游戏,虽然只剩下部分老玩家在玩,...

15630
来自专栏信安之路

打造属于自己的渗透神器 第二篇

今天我又给大家带来了新的一篇打造一个属于自己的渗透神器,之前在浏览视频的时候看到一部视频就是讲这个的今天我们就一起试一下。

18500
来自专栏黑白安全

45种撸进后台的方法

2、到Google,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为MSSQL数据库! 

2K70
来自专栏FreeBuf

你说安全就安全?对红芯浏览器的一次安全测试

近日,红芯浏览器“套壳”一事被网络舆论炒的沸沸扬扬。红芯浏览器被官方标榜为“安全、稳定、可控的企业浏览器”,其中“自主可控”一项已经被舆论所质疑,但是被官方放在...

9320

扫码关注云+社区

领取腾讯云代金券