[原创]是谁悄悄偷走了我的电：利用DNSMon批量发现被挂挖矿代码的域名
是谁悄悄偷走了我的电：利用DNSMon批量发现被挂挖矿代码的域名 作者：360网络安全研究院 在360网络安全研究院，我们持续的分析海量的DNS流量。基于此，我们建立了 DNSMon 检测系统，能够对 DNS 流量中的各种异常和关联关系予以分析。 在之前的&文章&中，我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后，我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析，本文描述我们目前看到情况。 当前我们可以看到： ·&&&&&&&& 0.2% 的网站在首页嵌入了Web挖矿代码：Alexa Top 10万的网站中，有 241 (0.24%) ； Alexa Top 30万的网站中，有 629 (0.21%) ·&&&&&&&& 色情相关网站是主体，占据了这些网站的49%。其它还有诈骗（8%）、广告（7%）、挖矿（7%）、影视（6%）等类别 ·&&&&&&&& 10+ 挖矿网站提供挖矿能力支撑，其中最大的是是 coinhive.com，占据了大约 57% 的份额，然后是 coin-hive.com (8%)、load.jsecoin.com (7%)、webmine.pro(4%)、authedmine.com (4%) 及其他 当前网页挖矿已经成为一个市场，市场中的角色包括： ·&&&&&&&& 终端用户：当前他们的利益是被忽视的 ·&&&&&&&& 挖矿网站：新玩家，提供网页挖矿脚本和能力 ·&&&&&&&& 内容/流量网站：既有网站，有庞大的用户但缺少变现手段。现在他们将既往无利可图的流量导向挖矿网站，利用消费者的算力网页挖矿，完成变现。最近也开始有一些内容网站，他们自行搭建挖矿能力，肥水不留外人田。 600+ 内容/流量网站 在 Alexa Top30万 的站点中，通过验证他们的首页，我们可以确认当前有至少 628 个网站挂载了挖矿代码。我们把这些域名绘制了标签图如下，读者可以有一个直观印象。由于色情相关的特殊性，我们不会公布这些已知域名。
图1 网站内容分类如下表所示：
图2 10+ 挖矿网站 市场占有率排名 内容/流量网站汇聚了用户流量以后，会通过挖矿网站来变现。按照被内容网站使用数量统计，我们看到
当天的Top 10 挖矿网站如下所示：
图3 值得一提的是，上表中尽管所有的挖矿网站被使用了728次，但所有的内容网站加起来只有 628 个，这是因为部分内容网站使用了 2 个或者更多的挖矿网站。在这个市场里，这是一种普遍的情况。 挖矿网站家族 所有的挖矿网站之间，是可以汇聚到不同家族的。我们已知的挖矿网站家族包括： ·&&&&&&&& coinhive: coinhive.com, coin-hive.com，以及系列网站 ·&&&&&&&& jsecoin: load.jsecoin.com ·&&&&&&&& webmine: webmine.cz ·&&&&&&&& cryptoloot: crypto-loot.com, cryptoloot.pro, webmine.pro以及系列网站 ·&&&&&&&& coinhave: coin-have.com, ws.cab217f6.space系列网站, api.cab217f6.space系列网站 流量趋势 主要的挖矿网站 DNS 流量趋势如下图：
图4 从图中我们可以看出： ·&&&&&&&& 市场开启于 2017-09，coin-hive.com 和 coinhive.com 先后于
开始有大量访问 ·&&&&&&&& 市场在持续变大，在2017-10 和 2018-01 分别有两次大的提升 ·&&&&&&&& 最大的玩家是 coinhive 家族，这与之前的观测一致。作为代表的 coinhive.com 网站流行度已经排入Top 2万 ·&&&&&&&& 越来越多的挖矿网站供应商在进入这个市场 另外，最近我们开始观察到，coinhave 家族开始使用一些域名的冗余技术来将流量分散到类如.space等20个子站上，主站的流量在缩小。 新玩家和新玩法 近期我们注意到一些新的玩法正在这个市场上出现： ·&&&&&&&& 广告商：有些网站的挖矿行为是广告商的外链引入的 ·&&&&&&&& 壳链接：有的网站会使用一个“壳链接”来在源码中遮蔽挖矿站点的链接 ·&&&&&&&& 短域名服务商：goobo.com.br 是一个巴西的短域名服务商，该网站主页，包括通过该服务生成的短域名，访问时都会加载coinhive的链接来挖矿 ·&&&&&&&& 供应链污染：www.midijs.net 是一个基于 JS 的MIDI文件播放器，网站&源码&中使用了 coinhive 来挖矿 ·&&&&&&&& 自建矿池： 有人在 github 上开源了一段代码，可以用来自建矿池 ·&&&&&&&& 用户知情的Web挖矿：authedmine.com 是新近出现的一个挖矿网站，网站宣称只有在用户明确知道并授权的情况下，才开始挖矿 使用 DNSMon 检测网页挖矿情况的原理和优点 以上展示了我们使用 DNSMon 监控网页挖矿的结果，其监控原理如下： ·&&&&&&&& 当用户浏览器开打内容网站的网页，并随后立即访问了挖矿网站时，这两个域名的紧密关联关系会被 DNSMon 记录下来 ·&&&&&&&& 在这个案例中，通过对 coinhive.com 相关的网站观察，我们能够识别挖矿相关网站 ·&&&&&&&& 由于内容网站不时切换背后的挖矿网站，所有记录下来的域名就能够连接成一张网络，从而反映整个市场内的玩家情况 使用 DNSMon 检测网页挖矿有以下优点和缺点： ·&&&&&&&& 优点 ·&&&&&&&& 覆盖广 ·&&&&&&&& 准实时 ·&&&&&&&& 精度高 ·&&&&&&&& 可以利用域名关联网络，通过种子域名扩展发现新的可疑域名 ·&&&&&&&& 对链路劫持后的的支持，也好于传统网页扫描器 ·&&&&&&&& 缺点 ·&&&&&&&& 仅能反映域名之间关联，网页挖矿事实还需要使用其他手段确认 总体而言，利用 DNSmon 系统，我们能够： ·&&&&&&&& 批量发现可疑站点 ·&&&&&&&& 快速确定挖矿网站 ·&&&&&&&& 定位使用了代码变形、壳链接的挖矿网站。 声明 本文中的标签图，使用&http://cloud.niucodata.com/&制作
支付方式：
最新回复 (0)
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。作为2018年表现亮眼的明星币种，E币（ECO）的研发进度情况一直备受投资者们的关注。就在昨晚，Ecoin官网放出的最新研发公告，一时间使得钟爱于E币（ECO）的币友们沸腾了。据官网显示，E币（ECO）正式进入测试网络公开测试阶段。
来源：E币官网（www.ecoin.org）Ecoin（中文名：E币，英文简称：ECO，货币总量38亿）是一种面对面支付场景电子现金系统。Ecoin的底层技术实现了包括8M区块、闪电网络、签名算法、挖矿算法、抗量子计算机攻击、可选的匿名性等6个方面的突破性创新，基础研发均已经完成，封闭网络测试阶段也已完成，现正式进入测试网络公开测试阶段。此前，E币（ECO）已经在币易Coinyee平台首发上线，并在早期吸引了一大批粉丝，一直保持极高的活跃性。而E币（ECO）正式进入测试网络公开测试阶段，也代表着E币（ECO）离正式上线已经近在咫尺。
此次测试网络公开测试，也是对E币（ECO）挖矿机制的检验。不同于比特币，E币（ECO）采用了更优算力的挖矿算法，大大降低了挖矿的门槛和难度，全民挖矿将成为可能。此外，E币（ECO）能够抗ASCI矿机挖矿，有效避免了挖矿算力过度集中的缺点，使得E币（ECO）的抗攻击能力取得了飞跃性的发展，真正意义上让去中心化、不可篡改等特性在数字货币的应用中成为可能。并且E币（ECO）将会有5亿枚通过挖矿产生，比特币的挖矿难度和成本越来越高，与其耗费众多心血所获甚微，不如待E币（ECO）钱包正式上线成为一名E币（ECO）矿工。技术改变未来，让支付变得更简单。继比特币之后，真正兼具技术和实用性的数字货币已经出现，对于未来我们充满期待！特别声明：本文为网易自媒体平台“网易号”作者上传并发布，仅代表该作者观点。网易仅提供信息发布平台。
一键安装官方客户端
重大事件及时推送 阅读更流畅
http://dingyue.nosdn.127.net/9=tA70eoXOwrw2K3j8tMXRcL0BIt9QyCsH3rqLfDuMCcV6.pngCheck Point发布2018年网络攻击趋势年中报告：越来越多黑客瞄准云基础设施_第一资讯_IT产品和服务_赛迪网
Check Point发布2018年网络攻击趋势年中报告：越来越多黑客瞄准云基础设施
Check Point最近发表的《网络攻击趋势: 2018年中报告》显示，全球42%的组织受到加密货币挖矿软件攻击，对云基础设施的第五代攻击日益增长
发布时间： 20:43&&&&&&&&来源：赛迪网&&&&&&&&作者：
全球领先的网络安全解决方案提供商CheckPoint以色列捷邦安全软件科技有限公司(NASDAQ: CHKP) 近日发布了《网络攻击趋势：2018年中报告》，指出网络犯罪分子正大肆使用加密货币挖矿（Cryptomining）恶意软件对企业策动攻击，以此增加非法收入来源。与此同时，云基础设施也逐渐成为热门的攻击目标。
在2018年1月到6月期间，受Cryptomining恶意软件影响的组织数量翻了一番，达到了42%，而2017年下半年则为20.5%，Cryptomining恶意软件能够使网络犯罪分子利用高达65%的CPU电力，劫持受害人的CPU或者GPU电力以及现有的资源来挖掘加密货币。在2018年上半年中最常见的三大恶意软件变种都是加密货币挖矿软件。
在这个期间也有另一个新趋势，CheckPoint 检测到针对云基础设施的攻击也越来越多。随着企业把更多的IT资产和数据迁移到云环境中，犯罪分子正在转攻云以利用其强大的计算能力来攫取利益。
《网络攻击趋势：2018年中报告》详细介绍了几大类恶意软件& Cryptomining、勒索软件，针对银行和移动的恶意软件。这些调查结果是基于2018年1月至6月期间Check Point ThreatCloud的情报数据，同时描述了网络犯罪分子攻击企业的主要伎俩。
Check Point威胁情报部门经理Maya Horowitz表示：&今年上半年的网络犯罪的趋势延续了我们在2017年底的预测，同时充分利用不易被发觉的Cryptomining恶意软件来最大限度地牟利。我们还发现针对云基础设施和多平台环境的复杂攻击日益增长。这些多方位、快速、大规模的第五代攻击正在变得越加频繁，组织需要采用多层次网络安全策略来防止这些攻击占据其网络和数据。
2018年上半年的主要恶意软件趋势
Check Point的研究人员在此期间发现了一些主要的恶意软件趋势，其中包括：
?&&加密货币挖矿软件逐渐演变 - 2018年，加密货币挖矿软件Cryptominers 已经升级并大大改进其功能，变得更加复杂，甚至具有破坏性。Cryptominers为了取得更多计算资源并且非法牟利，会对任何阻碍其行为的目标进行攻击。Cryptominers 最近也进行了大幅度演变，利用那些知名的漏洞，并且规避沙箱和安全产品从而扩大其感染率。
?&&黑客迁移到云端 & 今年到目前为止，出现了许多针对云存储服务的复杂技术和工具。一些基于云的攻击主要涉及数据和信息泄露，来源于那些安全性低的运营操作，包括公共源代码或者使用容易破译密码的存储库上的信息。Crytominers 也瞄准云基础设施，利用其计算能力并且为攻击者攫取利益。
?&&多平台攻击增加 - 截至2017年底，多平台恶意软件还很罕见，然而，消费者联网设备的增加及非Windows操作系统的市场份额不断增长，导致了跨平台恶意软件的增长。攻击活动操作者运用各种技术来控制不同受感染的平台。
?&&移动恶意软件通过供应链进行传播 - 今年上半年，发生了几起移动恶意软件尚未被通过恶意URL下载却已经安装在移动设备中的事件。此外，应用商店中由恶意软件伪装的应用程序增加，包括银行木马、恶意广告软件和复杂的远程访问木马(RATs)。
2018年上半年的主要Cryptominers
Coinhive (30%)& 一种Cryptominer挖矿软件，会在用户访问网页时不经用户许可即可执行门罗币（Monero）在线挖掘操作。Coinhive仅在2017年9月出现一次，但是在全球范围内有12%的组织受到其攻击。
Crytoploot (23%)- 一种JavaScript Cryptominer挖矿软件, 会在用户访问网页时不经用户许可即可执行门罗币（Monero）在线挖掘操作。
JSEcoin（17%）- 基于Web的Cryptominer,会在用户访问网页时不经用户许可即可执行门罗币（Monero）在线挖掘操作。
2018年上半年主要勒索软件
Locky (40%) -这款勒索软件主要通过垃圾邮件中伪装成Word或Zip压缩文件的附件进行传播，诱使收害人安装恶意软件。
WannaCry（35%）- 该勒索软件于2017年5月大规模传播，利用Windows 操作系统SMB漏洞永恒之蓝（EternalBlue），从而在网络中迅速传播。
Globeimposter（8%）- 通过垃圾邮件活动，恶意广告和漏洞利用工具包进行传播。加密后，勒索软件会将.crypt扩展名附加到每个加密文件中。
2018年上半年主要移动恶意软件
Triada (51%) & 一种针对安卓系统的模块化后门，可为恶意软件下载授予超级用户权限，从而将恶意软件嵌入系统进程中。Triada也在浏览器中加载欺诈性URLs
2.&&&&&&Lokibot (19%) & 一种针对安卓智能手机的移动银行木马，会在受害者试图删除其管理员权限时转变成恶意软件。
3.&&&&&&Hidad (10%) & 一种安卓恶意软件，会重新打包合法应用程序，然后将其发布到第三方应用商店。它能够访问操作系统内置的关键安全细节，允许攻击者窃取敏感的用户数据。
2018年上半年主要银行恶意软件
Ramnit（29％）- 一种窃取银行证书、FTP密码、会话cookie和个人数据的银行木马程序。
Dorkbot（22％）- 一种通过web-injects窃取受害者凭据的银行木马，会在用户尝试登录其银行账户时激活。
Zeus (14%)& 一种针对Windows平台的木马程序，通常会通过这些平台的浏览器中的按键记录和表单抓取来窃取银行信息。
Check Point的ThreatCloud威胁云情报是一个打击网络犯罪的大型协作网络，通过一个覆盖全球的威胁传感器网络监测威胁数据和攻击趋势。ThreatCloud数据库拥有超过2.5亿个用于发现僵尸网络的分析地址，超过1100万个恶意软件签名和超过550万个受感染的网站，并且每天识别数百万种恶意软件类型。
点击以下链接可以获取报告全文：
https://pages.checkpoint.com/cyber-attack-2018-mid-year-report.html
Check Point以色列捷邦安全软件科技有限公司
Check Point以色列捷邦安全软件科技有限公司 (www.checkpoint.com) 是全球专注于安全的解决方案供应商,其客户包括多国政府和企业。Check Point的解决方案在抵御恶意软件、勒索软件和各种威胁方面的表现领先业界，为客户提供安全保护。Check Point 的多层次安全架构保护企业在云端、网络和移动设备信息的安全，以及提供最全面和可视化的单一安全控制管理系统。Check Point现为超过100,000个不同规模的组织提供安全保护。
关键词阅读:
1(共条评论)
2(共条评论)
3(共条评论)
4(共条评论)
5(共条评论)
据戴尔大中华区企业方案和联盟策略部企业技...
联系我们：
广告发布：
方案、案例展示：
京ICP000080号 网站-3
&&&&&&&&京公网安备45号扫描下载APP
微信公众号
已有账号？
没有账号？
第三方登录
2018年上半年，各类常见恶意软件中，排名前三都跟数字资产挖矿有关。
根据网络安全解决方案提供商Check Point发表的报告，网络犯罪目前正在积极利用恶意挖矿软件获得非法收入。与此同时，云设施成为网络罪犯越来越关注的目标。Check Point的危险情报集团经理Maya Horowitz评论，2018年上半年的网络犯罪行为延续了2017年底的趋势，犯罪分子充分利用了隐蔽的恶意挖矿软件，最大限度地增加收入。Horowitz透露，Check Point检测到针对云设施和多平台环境的攻击越来越复杂、越来越频繁，建议机构采取一种多层次的网络安全策略，防止这些攻击占据他们的网络和数据。报告显示，2018年1月到6月期间，受到加密资产挖矿恶意软件影响的机构在数量上翻了一倍，达到42%。2017年下半年，这一数字是20.5%。恶意挖矿软件可以劫持受害者的CPU或者GPU算力，以及现有的资源，实现挖矿目的。据火星财经（微信：hxcj24h）了解，终端用户高达65%的CPU算力会被网络罪犯占用。另外，随着越来越多的机构将更多的IT资产和数据上传到云存储环境，犯罪分子也开始转向云基础设施，利用其巨大的计算能力增加利润。全球常见恶意软件排名前三的加密资产挖矿恶意软件Coinhive——访问网页时，可以在用户未许可的情况下，在线挖矿门罗币。Coinhive挖矿软件出现于2017年9月，但已经攻击过全球12%的机构。Cryptoloot——一种基于JavaScript语言的挖矿软件。用户访问网页时，开始在线挖矿门罗币。JSEcoin——基于web的加密挖矿软件。只要用户访问网页，不必经过用户同意就自动执行门罗币的在线挖掘。加密资产挖矿软件不断进化挖矿恶意软件在2018年得到了巨大提升，性能也得到极大地改善，更加复杂也更具破坏性。这些挖矿程序的目标很明确，即占用尽可能多的算力资源在线挖矿数字资产，攻击任何可能妨碍它们的东西。为了扩大感染率，挖矿程序多利用计算机漏洞，躲避沙箱等产品。黑客转向云设施到目前为止，已经有许多的技术和工具被开发出来，专门针对云存储服务。因为一些云存储服务缺乏安全测试，黑客可以从公共源码中获取凭证或者弱型密码达到攻击的目的，主要涉及数据过滤和信息披露。多平台攻击的兴起截止2017年年底，多平台的恶意软件都还很少见。随着连接消费者的设备激增以及非windows操作系统市场份额的增加，跨平台的恶意软件开始兴起。运营商运用各种技术，尽可能覆盖不同的平台。移动端恶意软件通过供应链传播2018年上半年，出现了好几起手机端的恶意软件。这些恶意软件并非从恶意的网址下载而来，而是安装设备本身就含有恶意代码。此外，应用商店中越来越多的应用程序，实际上就是伪装的恶意软件，包括银行木马、广告软件和其他复杂的远程访问木马程序等。Check Point是为全球政府和各国企业提供网络安全解决方案的主要服务商。提供的解决方案可以保护客户免受网络攻击，在行业内处于领先地位。本文为火星财经原创稿件，版权归火星财经所有，未经授权不得转载，转载须在文章标题后注明“文章来源：火星财经”，若违规转载，火星财经有权追究法律责任。
本文来源： 火星财经
商务邮箱：
投稿邮箱：