导语:网络安全公司Sucuri安全人员发现黑客正利用URL短地址跳转进行加密货币挖矿,这是一挖矿的新方法,这种方法会以牺牲系统管理员、网站所有者和访问者的利益为代价来逃避检测和加快挖掘速度。

黑客利用URL短地址跳转进行挖矿

网络安全公司Sucuri安全人员发现黑客正利用URL短地址跳转进行加密货币挖矿,这是一挖矿的新方法,这种方法会以牺牲系统管理员、网站所有者和访问者的利益为代价来逃避检测和加快挖掘速度。

其实这项最新的挖矿技术就是通过恶意URL压缩程序来伪装恶意网站,与传统的重定向攻击不同,该技术不会将毫无戒心的访问者重定向到受感染的网页或仿冒页面。相反,URL压缩程序是由Coinhive(一个提供恶意JS脚本的网站平台)构建的,无论它何时被浏览器加载,攻击者都可以在网站访问者的设备CPU上挖掘加密货币。

Coinhive对此的解释如下:

如果你有想要转发的用户的URL,那就可以创建一个cnhv.co短链接。用户只需处理一些哈希值,然后就可以自动转发到目标URL。

从理论上讲,这可以为网站提供一种其他收入途径,即通过网站访问者的访问流量就可以获利,而不需要通过广告或付费会员等内容才能获利。

被滥用的URL短地址服务

短网址(Short URL) ,顾名思义就是在形式上比较短的网址。通常用的是asp或者php转向,在Web 2.0的今天,不得不说,这是一个潮流。目前已经有许多类似服务,借助短网址您可以用简短的网址替代原来冗长的网址,让使用者可以更容易的分享链接。遗憾的是,在实践中,URL短地址服务被滥用,如研究人员在客户端主题文件中遇到的以下新的混淆样本。

黑客利用URL短地址跳转进行挖矿

在JavaScript unescape函数中转换十六进制字符串后,阅读起来更容易。

黑客利用URL短地址跳转进行挖矿

正如你所看到的,URL压缩程序是通过特意设置为1×1大小的iFrame加载的,因此在网页上发现它将非常困难。此外,在iFrame中使用cnhv[.]co压缩的URL允许它与网页的其余部分一起自动加载,而不是要求访问者执行像点击URL超链接那样的操作。

URL压缩程序的另一个问题是,它允许恶意用户调整访问者设备需要完成的哈希值,而这会直接影响用户的设备使用CPU运行加密挖矿哈希的时间。

挖矿仅在加载cnhv[.]co压缩的URL后开始,因为该URL抓取了我们在之前的帖子中记录的相同的挖矿JavaScript。

黑客利用URL短地址跳转进行挖矿

挖矿脚本不是直接从用户的网站中加载,而是通过cnhv[.]co网站加载。cnhv[.]co网站增加了可以被视为额外歧义层的内容,从而帮助挖矿脚本逃避检测。尽管许多人会在coinhive[.]min[.]js加载时,对主要脚本的进行检测,但目前一些主要的安全解决方案和杀毒软件尚未将其列为可疑。

在注入页面加载时100%使用设备CPU

以下是在本地测试环境中使用网页浏览器(在本例中为FireFox)通过混淆样本以加载HTML文件而不阻止JavaScript时的情况:

黑客利用URL短地址跳转进行挖矿

如果仔细观察,你可以看到iFrame像素与最左边的1×1大小对齐。该大小可以防止Coinhive网站上列出的示例中显示的任何进度条,这看起来像是逃避毫无戒心的访问者的检测。

你还可以看到研究人员的设备CPU的两个核心在执行注入的cryptominer JavaScript的FireFox进程中被100%的使用,使用率达到了最大化。哈希限制设置得如此之高(比Coinhive网站上的默认值高3625倍),在100%运行超过10分钟后,CPU肯定会有明显升温,某些设备由于缺乏适当的散热,会造成潜在的永久性损坏。

伪装恶意内容的短地址

最后,还有一个传统的问题,从一开始就困扰着URL短地址服务。这就是攻击者使用它们来伪装恶意的URL(网络钓鱼、下载、诈骗等等)。这增加了不知情的访问者加载缩短的URL的机会,因为它看起来与正在使用的其他合法缩短的URL没有任何不同。

不过,有一些有用的在线服务,可以向你显示那些短地址的原始URL,这可以适当的识别恶意重定向,来缓解此问题。遗憾的是,这些在线服务无法应用到cnhv[.]co的短URL中,因此在挖掘哈希值(由恶意用户设置)完成之前,你无法知道它将重定向到何处。

这意味着用户可能通过访问具有cnhv[.]co iFrame注入的网站,而在不知不觉中开始挖掘加密货币,然后在完成挖掘之后,通过缩短的URL将其定向到包含路过式下载(drive-by download)或其他恶意软件的另一个被攻击的网站。

总结

到目前为止,研究人员已经在多个网站上发现过此注入,看起来这个趋势还将继续增加。截至撰写本文时,通过对源代码的搜索显示,目前有超过100个网站被索引,其中包含相同cnhv[.]co的十六进制格式的缩短URL。对通过iFrame加载的cnhv[.]co缩短网址的类似搜索显示,其他挖矿网站也正在使用此方法。不幸的是,有些用户似乎并没有感觉受到攻击,因为攻击者故意使用iFrame来隐藏访问者的网址。

虽然这是网站增加收入的一个有趣方式,但不幸的是,这是以牺牲系统管理员、网站所有者和访问者的利益为代价的。所以我们需要增加对添加控件的关注,以便停止这种滥用,或者大大减少这种滥用。就目前的情况而言,这种滥用行为很容易损害合法网站的信誉,虽然这些网站也想进行流量变现。