Вступление

Вы, наверное, видели недавние заголовки о скрипте майнинга Coinhive. Он был замечен на многих веб-сайтах и ​​даже в десятках приложений в магазине Google Play. Хотя скриптом Coinhive, несомненно, злоупотребляют, термин «вредоносное ПО» не обязательно является точным или справедливым описанием; это просто скрипт для майнинга в браузере. Может наступить день, когда пользователи будут рады разрешить доступ к части своей вычислительной мощности при посещении определенного веб-сайта в обмен на отсутствие навязчивой рекламы. Malwarebytes в последнее время пометил скрипт как вредоносное ПО очень к тревога некоторых.

Более подходящим описанием для более зловещего использования этого сценария было бы:

Плохие участники используют существующие эксплойты, чтобы вставить скрипт Coinhive в код ничего не подозревающих веб-мастеров..

Мы решили взглянуть на текущее распространение скрипта Coinhive. Сколько веб-сайтов затронуты, и есть ли между ними что-то общее??

Обнаружение уязвимых сайтов

Поскольку скрипт Coinhive запускается из централизованного места, довольно легко найти сайты, которые его используют, независимо от того, знают они код или нет. Сайты, на которых запущен сценарий, обычно имеют следующий код, встроенный в их веб-сайты (вместе с некоторыми аналогичными вариантами):

src ="https://coinhive.com/lib/coinhive.min.js">

Поэтому все, что нам нужно сделать, чтобы найти эти сайты, – это просканировать исходный код, чтобы проверить наличие ссылок на скрипт Coinhive. Мы просканировали наши базы данных, которые содержат недавно обновленный исходный код веб-сайтов для более чем 200 миллионов доменов. Затем мы проверили скрипт Coinhive на действующих веб-сайтах и ​​получили следующее количество обращений:

  • 8,786 доменов

Было бы безопасно предположить, что эта оценка занижена также из-за нескольких факторов:

  • Мы проверяем только домашнюю страницу сайта, а не все страницы
  • 99 +% проверенных сайтов – это корневые домены (не субдомены)
  • Некоторые сайты могли быть недоступны на момент проверки
  • Некоторые сайты могут требовать от пользователей входа в систему
  • Мы не проанализировали все существующие веб-сайты!

Примечание: Домены и метрики, опубликованные в этом посте, были собраны 10 ноября 2017 года. Конкретные веб-сайты, на которых запущен скрипт Coinhive, и метрики этих доменов будут меняться со временем. Мы постараемся периодически обновлять этот пост.

Получение показателей

Итак, теперь у нас есть хороший список затронутых доменов, давайте разберем некоторые показатели. Мы собираемся извлечь следующую информацию для каждого домена:

  • TLD (домен верхнего уровня, например .com, .net, .co.uk и т. Д.)
  • Язык
  • CMS или Framework (система управления контентом, такая как Drupal, WordPress и т. Д.)
  • Категория веб-сайта
  • Рейтинг Alexa
  • Статус безопасного просмотра Google
  • IP-адрес хостинга
  • Геолокация хостинга
  • Рейтинг Majestic SEO
  • Расчетный поисковый трафик
  • Поделиться в Facebook

На наш взгляд, единственный инструмент для такой работы – это А-парсер, чрезвычайно универсальный инструмент синтаксического анализа, который может анализировать большинство необходимых нам показателей прямо из коробки и легко настраиваемый.

Наша первоначальная настройка A-Parser

Вот еще несколько источников, которые мы будем использовать для сбора наших показателей:

  • Мы будем использовать API категорий Webshrinker чтобы получить категорию веб-сайта.
  • Мы будем использовать Фрагмент Джона Курковски для извлечения TLD.
  • Мы воспользуемся парсером Net :: DNS от A-Parser, чтобы получить IP-адрес, а затем передать его в ipinfo.io API используя собственный парсер, внутри А-парсер, для сбора информации о местоположении хостинга веб-сайта.
  • Мы будем использовать Majestic API для сбора своих данных SEO (Trust Flow) и CF (Citation Flow).
  • Мы будем использовать API безопасного просмотра (версия 4) для сбора данных безопасного просмотра.

После быстрого тестирования наших настроек мы запустили A-Parser и начали работу над скриптами для неподдерживаемых показателей, указанных выше..

результат тестирования a-парсераРезультат выглядит хорошо!

Первоначальные результаты

Мы идем в кроличью нору! Результаты нашего анализа представлены в таблице ниже..

Таблица анализа Coinhive

Открыть в Google Таблицах

Непосредственные наблюдения

При просмотре наших данных сразу становится очевидным, что существует множество доменов .ir (иранских), размещенных на одном IP-адресе с использованием одной и той же PHP Framework, Laravel..

Диаграмма TLDГрафик CMSГрафик IP

Это 4 462 (50,8%) доменов на .ir TLD, 4,565 (52%) на 108.61.170.199 ИП и 4 347 (49,5%) бег Фреймворк Laravel. На данном этапе можно с уверенностью предположить, что большинство доменов с любой из этих метрик связаны.

Давайте запустим простой запрос MySQL, чтобы проверить:

ВЫБЕРИТЕ СЧЕТЧИК (*) ИЗ `coinhive_table`, ГДЕ` tld` = ‘ir’ И `cms` = ‘Laravel’ И` ipaddress` = ‘108.61.170.199’;

4205 Результаты

Здесь следует отметить несколько моментов:

  1. За более чем 4205 иранских доменов, на которых запущен сценарий, вероятно, несет ответственность какая-то отдельная организация..
  2. Эти домены, вероятно, следует удалить для дальнейшего изучения наших данных и получения хорошей общей картины, подробнее об этом позже..

Иранская связь

Эти домены заслуживают дополнительного изучения, давайте рассмотрим несколько примеров доменов:

0002.ir

0004.ir

0005.ir

aaaaaa.ir

aadd.ir

aaii.ir

zbd.ir

zbf.ir

zbk.ir

Как видите, похоже, что они были зарегистрированы с помощью простого скрипта с записями 0–9 и a – z..

Вот как выглядят веб-сайты. Те, которые мы проверили, были идентичны, за исключением доменного имени:

Все сайты выглядят одинаково

Это начинает меньше походить на взломанные / взломанные домены, а больше на что-то еще! Все домены продаются и припаркованы через dns4.ir, данные WHOIS этого веб-сайта соответствуют WHOIS для многих из этих доменов..

Грубая игра не очевидна, но действительно возникает несколько вопросов. В принципе, как кто-то получает прибыль от регистрации более 4000 доменов по цене около 25 долларов каждый? Домены не показывают оценочного поискового трафика, входящих ссылок и очень немногие из них показывают какую-либо социальную активность. В настоящее время неизвестно, происходит ли что-то зловещее или это просто сложная установка парковки домена. Мы склоняемся к мысли, что это всего лишь монетизация припаркованных доменов, созданная доменщик.

Отфильтрованные результаты

Мы очистили домены .ir от наших результатов и еще раз взглянули на данные; сейчас мы смотрим на 4324 домена.

Отфильтрованная таблица анализа Coinhive

Открыть в Google Таблицах

Поделиться в Facebook

Таблица акций Facebook

Есть несколько доменов со значительным количеством акций Facebook, большинство из которых менее 5000, и большой процент сайтов, на которых их вообще нет; 2 194 домены (50,7%.)

Два домена имеют слишком большие значения для нашего графика:

  • piratebay.red – 737 526 323 Акции
  • mobileoffers.me – 7 536 447 акций

Расчетный поисковый трафик

Диаграмма оценочного поискового трафика

Эта диаграмма отображает предполагаемый поисковый трафик для доменов. Как видите, есть домены со значительным трафиком. тем не мение, 3 636 домены (84,1%) вообще не имеют прогнозируемого трафика.

Рейтинг Alexa (чем ниже, тем лучше)

Диаграмма рейтинга Alexa

В тех случаях, когда домены действительно оцениваются, рейтинг сайтов Alexa Rank распределяется довольно равномерно. Существует значительный процент этих доменов с оценкой менее 5 миллионов (это первые 5 миллионов существующих веб-сайтов, по данным Alexa). Однако, опять же, большой процент доменов не имеет рейтинга. Мы установили для этих нерейтинговых доменов оценку 21000000, чтобы их можно было визуализировать здесь (Alexa оценивает только 20 миллионов лучших веб-сайтов). Всего есть 2 678 (61.9%) домены без рейтинга.

Затронуто CMS

График CMS

Наибольшее количество доменов работает под управлением WordPress, что неудивительно, учитывая это один из самых популярных существующий. Однако он известен тем, что регулярно взламывают.

На данный момент неясно, взломаны ли эти домены WordPress или нет. Чтобы установить это, потребуются дополнительные исследования. Мы могли бы изучить используемые версии WordPress и проанализировать отдельные сайты, чтобы определить это, чем мы можем заняться позже..

Языки веб-сайтов

Таблица языков веб-сайта

Английский является основным языком, но существует удивительно большое количество веб-сайтов, использующих русский язык. Это может быть связано с тем, что российские веб-мастера лучше разбираются в криптовалютах и ​​технологиях, чем ваш средний веб-мастер..

Статус безопасного просмотра Google

Таблица безопасного просмотра Google

Подавляющее большинство веб-сайтов рассматриваются Google как безопасные, и только 47 сайтов отмечены как небезопасные. Это говорит о том, что Google на данный момент не рассматривает скрипт Coinhive как вредоносное ПО..

Категории веб-сайтов

Таблица категорий веб-сайтов

57,4% сайтов относятся к категории бизнес-сайтов. Мы проверили некоторые из этих сайтов и пришли к выводу, что эта категория довольно обширна, поэтому приведенные здесь данные бесполезны. Значительное количество веб-сайтов для взрослых также, похоже, используют сценарий, возможно, стараясь не прерывать(!) своих посетителей с рекламой или используя Coinhive как дополнительный источник дохода.

SEO-показатели

Мы использовали следующие SEO-показатели: TF (Поток доверия) и CF (Цитирование) из Величественный. Оба они оцениваются по шкале от 0 до 100. Подводя итог этим двум показателям:

  • Поток доверия – это показатель того, насколько надежны обратные ссылки, указывающие на сайт. Если на сайт ссылаются с надежных веб-сайтов, оценка будет высокой, если на него ссылаются с сомнительных веб-сайтов, оценка будет низкой..
  • Поток цитирования используется для определения того, насколько влиятельным является веб-сайт, на основе количества входящих ссылок на него..

Диаграмма области показателей SEO

Сайты, получившие оценку выше 0, по-видимому, имеют относительно равномерное распределение оценок от Majestic. Чтобы дополнительно разбить эти два показателя, мы также создали несколько линейных диаграмм:

График Trust Flow Line

Схема цитирования Flow Line

Как видите, большинство сайтов имеют оценку 0, а гораздо больше сайтов получают оценку в нижней части шкалы..

Затронутые TLD

Диаграмма TLD

Большое количество доменов .com, но опять же значительное количество доменов .ru (русских). Также существует значительное количество доменов .in (индийский) и .de (немецкий)..

Затронутые IP-адреса

В наших данных всего 2 936 IP-адресов. Мы можем дополнительно проанализировать, есть ли на определенных IP-адресах несколько затронутых доменов ниже:

Таблица IP-адресов

Как видно из диаграммы, на некоторых IP-адресах размещено множество веб-сайтов. Мы видим, что владелец доменов .ir, использующий IP 108.61.170.199, все еще имеет некоторые домены в наших данных, размещенных на разных TLD..

Другие IP-адреса, на которых размещен сценарий в нескольких доменах, можно объяснить одним из следующих способов:

  1. Веб-мастера размещают несколько доменов на одних серверах и устанавливают скрипт на многие из своих доменов..
  2. Веб-хосты были скомпрометированы, и несколько веб-сайтов на хостах «заражены».

Места размещения

Схема расположения хостинга

Большинство сайтов, на которых работает скрипт Coinhive, размещены в США, а также в Германии и России..

Примечательные данные – надежные & Сайты с высоким трафиком

Сайт нижнего белья

  • penelopelingerie.fr

penelopelingerie.fr

Казалось бы, популярный интернет-магазин нижнего белья для французских покупателей. Первый добавлен в Wayback Machine в апреле 2013 года с тем же физическим адресом магазина на сайте, что и в настоящее время.

  • Поделиться в Facebook: 3 177
  • Рейтинг Alexa: 3 026 277

ВЕРДИКТ: Вероятно, взломан

Музыкант

  • vintageculture.com.br

vintageculture.com.br

Этот веб-сайт кажется основным для бразильского музыканта “Vintage Culture”. За исключением скрипта Coinhive, сайт работает нормально. Трудно определить, использует ли этот сайт скрипт с целью получения прибыли или скрипт был размещен злонамеренно..

  • Поделиться в Facebook: 24 341
  • Рейтинг Alexa: 1 959 414

ВЕРДИКТ: Неизвестно

Блоги Google

  • sohoandroid.blogspot.com
  • rickandmortyfullhd.blogspot.com
  • joatamon.blogspot.com
  • ilikewarp.blogspot.com
  • piliday.blogspot.com
  • hentairpgmaker.blogspot.com
  • proboxnatv.blogspot.com
  • farmersnetly.blogspot.com
  • i-ptv.blogspot.com
  • ozlemsencanblog.blogspot.com
  • androidrepublica.blogspot.com
  • angiofoods.blogspot.com
  • megavideotunisie.blogspot.com
  • adrenetgames.blogspot.com
  • downloadsroat.blogspot.com

sohoandroid.blogspot.com

Интересно, что платформа Google, Blogger / Blogspot, имеет несколько субдоменов, на которых выполняется скрипт coinhive. Похоже, что пользователи могут ссылаться на внешний Javascript, поэтому они могут создавать блоги со спамом на платформе Google и использовать скрипт Coinhive для их монетизации..

  • Поделиться в Facebook: От 0 до 766
  • Рейтинг Alexa: Без рейтинга до 209 635

ВЕРДИКТ: Добавлен пользователями

Сайты для обмена файлами

  • piratebay.red
  • kickass.cd
  • alluc.ee

piratebay.red

Пиратская бухта открыто используя сценарий Coinhive как метод монетизации. Можно с уверенностью предположить, что то же самое можно сказать и о других веб-сайтах для обмена файлами, которые мы обнаружили..

  • Поделиться в Facebook: С 2437 до 737 526 323
  • Рейтинг Alexa: С 16768 по 2214

ВЕРДИКТ: добавлено веб-мастерами

Правительственные сайты

  • secheep.gov.ar
  • cultura.rj.gov.br (Похоже, что сейчас очистили)

secheep.gov.ar

Настоящий шок! Было обнаружено, что на двух правительственных веб-сайтах был запущен скрипт coinhive. С тех пор веб-сайт правительства Бразилии, похоже, удалил его, но он все еще работает и доступен для просмотра в исходном коде на веб-сайте. управляется правительством Аргентины.

Мы не можем подтвердить, было ли это размещено злонамеренно, хотя вы можете подумать, что любой веб-сайт, работающий на государственных серверах, должен быть должным образом защищен. Вы должны задаться вопросом, получает ли правительство Аргентины прибыль от запуска Coinhive..

  • Поделиться в Facebook: С 10 до 23 424
  • Рейтинг Alexa: С 949 052 до 889 516

ВЕРДИКТ: Неизвестно

Образовательные институты

  • udc.edu.mx
  • lsu.edu.ph
  • uaf.edu.mx
  • florida.edu.vn
  • aplusenglish.edu.vn
  • isquareit.ac.in
  • stieieu.ac.id
  • farzanegan.ac.ir

udc.edu.mx

Шокирующее количество учебных заведений размещают на своих сайтах скрипт коинхайв. Опять же, трудно определить, делают ли эти веб-сайты это сознательно. Любой пользователь, посещающий эти сайты, на которых запущен Malwarebytes Pro, увидит всплывающее уведомление о том, что скрипт заблокирован, поэтому вы можете подумать, что об этом уже было сообщено..

  • Поделиться в Facebook: От 0 до 1276
  • Рейтинг Alexa: Без рейтинга до 996 287

ВЕРДИКТ: Неизвестно

Поддомен Github

  • akagi201.github.io

akagi201.github.io

Этот поддомен GitHub перенаправляет на «зараженный домен». Пользователь создал субдомен на GitHub и вместо того, чтобы размещать код напрямую, перенаправил сайт GitHub в домен, который они контролируют. В этом домене присутствует код coinhive.

  • Поделиться в Facebook: 0
  • Рейтинг Alexa: Без рейтинга

ВЕРДИКТ: добавлен пользователем

Резюме

Вот некоторые ключевые моменты, которые следует вынести из нашего анализа:

  • Большинство надежных сайтов или сайтов со значительным трафиком, на которых работает скрипт, делают это., либо намеренно, либо в результате добавления пользователем скрипта на свою страницу. Есть вероятность, что некоторые из них были взломаны, но на данный момент это трудно доказать..
  • Некоторые крупные сайты, вероятно, были взломаны
  • Большинство других сайтов, на которых запущен сценарий, имеют так мало трафика что их сбой для пользователей, вероятно, незначительный.
  • Доменеры парковочные домены могут использовать coinhive для монетизации. Если позиция Google изменится в отношении Coinhive, это может обесценить домены с точки зрения будущих продаж..
  • Веб-сайты для взрослых кажутся открытыми для использования скрипта.
  • Правительственные и образовательные сайты запускают сценарий.
  • Поддомены на Платформа для ведения блогов Google запускаем сценарий.
  • Доказательств взлома не так уж и много. Хотя многие сайты, вероятно, взломаны, проблема не является широко распространенной..

По мере того, как становятся доступными дополнительные возможности браузерного майнинга, мы, вероятно, увидим, что все больше и больше веб-сайтов используют скрипты для монетизации своих пользователей в фоновом режиме, и все больше хакеров вставляют код на взломанные сайты. Некоторые компании, такие как NIMIQ, в настоящее время разрабатывают криптовалюты для конкретных браузеров.

Хакеры и злоумышленники обычно выбирают самый анонимный источник доходов на взломанных сайтах. Это могут быть партнерские сети, которые не задают вопросов, или хитроумные сети SEO, которые будут платить за обратные ссылки на взломанных сайтах. Возможность анонимного майнинга с использованием взломанных веб-сайтов будет разумным вариантом для хакеров, ищущих неотслеживаемую плату за свои преступления, и веб-мастеров, стремящихся выжать больше доходов со своих сайтов.

Как криптовалюта или Интернет, тот факт, что майнинг в браузере может использоваться или использоваться зловещими способами не означает, что их не должно быть. Мы должны сохранять открытость и конструктивно обсуждать будущее майнинга в браузерах..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me