Unit 42最近在Alexa上启动了一项针对全球前一万网站的威胁搜索活动,Alexa排名基于访问者的互动和访问次数来衡量网站的受欢迎程度。如表1所示,研究人员发现了四个受影响的网站。在随后的分析中,研究人员会更详细地描述这些恶意活动,其中就包括了CoinMiner挖矿病毒,它们劫持了CPU资源来挖矿加密货币。早在2017年CoinMiner就被发现,它是一款无文件的恶意软件,它会利用WMI(Windows Management Instrumentation)在感染的系统上运行命令,专家称,这款软件很难检测,并且会使用永恒之蓝进行传播。除了CoinMiner挖矿病毒外,还有恶意外部链接,将用户定向到恶意网站;还有一种就是Web skimmer攻击,该攻击旨在从付款表单中窃取银行卡信息。Web skimmer也被称之为Magecart攻击,早在2018年它就被评为了最危险的安全威胁。这种攻击主要针对的是支付数据,因为Web Skimming能够将任意信息填充进目标网站中,奇热所以攻击者目前可能不在局限于银行信用卡数据,而是将攻击范围扩展到网站登入信息以及其他敏感数据信息上。
受网络安全影响的Alexa网站
CoinMiner挖矿病毒
coinhive专门提供一个用来挖矿的JS引擎,在被攻击网站上的网页内嵌一段JS代码,只要有人访问被攻击网站,挖矿程序就会在网民的电脑上工作,占用大量的系统资源,导致CPU利用率突然提升,甚至100%!不但被攻击网站是受害者,普通网民也是受害者。最初Coinhive是一个浏览器挖矿服务,负责为门罗币区块链提供了一个JavaScript挖矿。该网站于2019年3月被关闭,其中很大一部分原因是它被网络攻击者滥用。不过目前仍有两个网站提供Coinhive的挖矿程序脚本。一个是coinhive.min.js,另一个是JSEcoin。下面的图1显示了在一个受攻击的网站zoombangla[.]com上启动coinminer所发出的命令。
使用定义的参数启动Coinhive挖矿的命令
该挖矿程序可以控制其如何利用用户的CPU以及用于挖矿的线程数量。CoinMiner还可以控制目标使用的CPU数量。表2列出了可用的参数选项。奇怪的是,上述代码将挖矿程序配置为快速耗尽受感染设备的电池,也许是因为攻击者觉得有必要最大限度地利用任何成功被入侵的受害者。大多数攻击者确保受损设备的电源使用率保持在较低水平,以避免被检测到并继续非法赚钱。但是,在本文所列举的样本中,攻击者似乎急于进行挖矿并没有正确配置来躲开检测。
参数节流和CPU使用率映射
下面显示了启动Coinhive挖矿脚本的命