谁悄悄偷走我的电（一）：利用DNSMon批量发现被挂挖矿代...

在360网络安全研究院，我们持续的分析海量的DNS流量。基于此，我们建立了 DNSMon 检测系统，能够对 DNS 流量中的各种异常和关联关系予以分析。

在之前的 文章 中，我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后，我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析，本文描述我们目前看到情况。

当前我们可以看到：

• 0.2% 的网站在首页嵌入了Web挖矿代码：Alexa Top 10万的网站中，有 241 (0.24%) ； Alexa Top 30万的网站中，有 629 (0.21%)
• 色情相关网站是主体，占据了这些网站的49%。其它还有诈骗（8%）、广告（7%）、挖矿（7%）、影视（6%）等类别
• 10+ 挖矿网站提供挖矿能力支撑，其中最大的是是 coinhive.com，占据了大约 57% 的份额，然后是 coin-hive.com (8%)、load.jsecoin.com (7%)、webmine.pro(4%)、authedmine.com (4%) 及其他
  

当前网页挖矿已经成为一个市场，市场中的角色包括：

• 终端用户：当前他们的利益是被忽视的
• 挖矿网站：新玩家，提供网页挖矿脚本和能力
• 内容/流量网站：既有网站，有庞大的用户但缺少变现手段。现在他们将既往无利可图的流量导向挖矿网站，利用消费者的算力网页挖矿，完成变现。最近也开始有一些内容网站，他们自行搭建挖矿能力，肥水不留外人田。
  

600+ 内容/流量网站

在 Alexa Top30万 的站点中，通过验证他们的首页，我们可以确认当前有至少 628 个网站挂载了挖矿代码。我们把这些域名绘制了标签图如下，读者可以有一个直观印象。由于色情相关的特殊性，我们不会公布这些已知域名。

网站内容分类如下表所示：

10+ 挖矿网站市场占有率排名

内容/流量网站汇聚了用户流量以后，会通过挖矿网站来变现。按照被内容网站使用数量统计，我们看到 2018-02-06 当天的Top 10 挖矿网站如下所示：

值得一提的是，上表中尽管所有的挖矿网站被使用了728次，但所有的内容网站加起来只有 628 个，这是因为部分内容网站使用了 2 个或者更多的挖矿网站。在这个市场里，这是一种普遍的情况。

挖矿网站家族

所有的挖矿网站之间，是可以汇聚到不同家族的。我们已知的挖矿网站家族包括：

• coinhive: coinhive.com, coin-hive.com，以及系列网站
• jsecoin: load.jsecoin.com
• webmine: webmine.cz
• cryptoloot: crypto-loot.com, cryptoloot.pro, webmine.pro以及系列网站
• coinhave: coin-have.com, ws.cab217f6.space系列网站, api.cab217f6.space系列网站
  

流量趋势

主要的挖矿网站 DNS 流量趋势如下图：

从图中我们可以看出：

• 市场开启于 2017-09，coin-hive.com 和 coinhive.com 先后于 2017-09-15 和 2017-09-28 开始有大量访问
• 市场在持续变大，在2017-10 和 2018-01 分别有两次大的提升
• 最大的玩家是 coinhive 家族，这与之前的观测一致。作为代表的 coinhive.com 网站流行度已经排入Top 2万
• 越来越多的挖矿网站供应商在进入这个市场
  

另外，最近我们开始观察到，coinhave 家族开始使用一些域名的冗余技术来将流量分散到类如6860c644.space等20个子站上，主站的流量在缩小。

新玩家和新玩法

近期我们注意到一些新的玩法正在这个市场上出现：

• 广告商：有些网站的挖矿行为是广告商的外链引入的
• 壳链接：有的网站会使用一个“壳链接”来在源码中遮蔽挖矿站点的链接
• 短域名服务商：goobo.com.br 是一个巴西的短域名服务商，该网站主页，包括通过该服务生成的短域名，访问时都会加载coinhive的链接来挖矿
• 供应链污染：www.midijs.net 是一个基于 JS 的MIDI文件播放器，网站 源码 中使用了 coinhive 来挖矿
• 自建矿池： 有人在 github 上开源了一段代码，可以用来自建矿池
• 用户知情的Web挖矿：authedmine.com 是新近出现的一个挖矿网站，网站宣称只有在用户明确知道并授权的情况下，才开始挖矿
  

使用 DNSMon 检测网页挖矿情况的原理和优点

以上展示了我们使用 DNSMon 监控网页挖矿的结果，其监控原理如下：

• 当用户浏览器开打内容网站的网页，并随后立即访问了挖矿网站时，这两个域名的紧密关联关系会被 DNSMon 记录下来
• 在这个案例中，通过对 coinhive.com 相关的网站观察，我们能够识别挖矿相关网站
• 由于内容网站不时切换背后的挖矿网站，所有记录下来的域名就能够连接成一张网络，从而反映整个市场内的玩家情况
  

使用 DNSMon 检测网页挖矿有以下优点和缺点：

• 优点
  • 覆盖广
  • 准实时
  • 精度高
  • 可以利用域名关联网络，通过种子域名扩展发现新的可疑域名
  • 对链路劫持后的的支持，也好于传统网页扫描器
    
• 缺点
  • 仅能反映域名之间关联，网页挖矿事实还需要使用其他手段确认
    
  
  

总体而言，利用 DNSmon 系统，我们能够：

• 批量发现可疑站点
• 快速确定挖矿网站
• 定位使用了代码变形、壳链接的挖矿网站。
  

版权声明

1、本站部分文字及图片均来自于网络，不代表点对点矿机商城立场。

2、如侵犯到您的权益，请及时通知我们,我们将于24小时内删除。

3、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

4、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。