Giới thiệu

Có thể bạn đã thấy các tiêu đề gần đây liên quan đến tập lệnh khai thác Coinhive. Nó đã được phát hiện trên nhiều trang web và thậm chí hàng chục ứng dụng trong cửa hàng Google Play. Trong khi tập lệnh Coinhive chắc chắn đang bị lạm dụng, thuật ngữ “phần mềm độc hại” không nhất thiết phải là một mô tả chính xác hoặc công bằng; nó chỉ là một tập lệnh khai thác trình duyệt. Có thể sẽ đến một ngày người dùng vui lòng cho phép truy cập vào một phần khả năng xử lý của họ khi truy cập vào một trang web cụ thể, để đổi lấy việc không có quảng cáo xâm nhập. Malwarebytes gần đây gắn nhãn tập lệnh là phần mềm độc hại nhiều đến mất tinh thần của một số.

Một mô tả phù hợp hơn cho cách sử dụng độc ác hơn của tập lệnh này sẽ là:

Những kẻ xấu đang sử dụng các khai thác hiện có để chèn tập lệnh Coinhive vào mã quản trị web không nghi ngờ.

Chúng tôi quyết định xem xét phạm vi tiếp cận hiện tại của tập lệnh Coinhive. Chỉ có bao nhiêu trang web bị ảnh hưởng và có điểm chung nào giữa các trang web đó không?

Khám phá các trang web bị ảnh hưởng

Vì tập lệnh Coinhive được chạy từ một vị trí tập trung, nên khá dễ dàng để xác định các trang web đang sử dụng nó, cho dù họ có biết về mã hay không. Các trang web chạy tập lệnh thường có mã sau được nhúng vào trang web của họ (cùng với một số biến thể tương tự):

src ="https://coinhive.com/lib/coinhive.min.js">

Vì vậy, tất cả những gì chúng ta cần làm để tìm các trang web này là quét mã nguồn để kiểm tra các tham chiếu đến tập lệnh Coinhive. Chúng tôi đã quét cơ sở dữ liệu truy cập của mình, chứa mã nguồn trang web được cập nhật gần đây cho hơn 200 triệu tên miền. Sau đó, chúng tôi đã kiểm tra tập lệnh Coinhive trên các trang web trực tiếp và nhận được số lần truy cập sau:

  • 8.786 miền

Sẽ là an toàn nếu giả sử ước tính này ở mức thấp cũng do một số yếu tố:

  • Chúng tôi chỉ kiểm tra trang chủ của trang web, không phải tất cả các trang
  • 99 +% các trang web được kiểm tra là tên miền gốc (không phải tên miền phụ)
  • Một số trang web có thể không có sẵn tại thời điểm kiểm tra
  • Một số trang web có thể yêu cầu người dùng đăng nhập
  • Chúng tôi không phân tích cú pháp từng trang web tồn tại!

Ghi chú: Các tên miền và chỉ số được xuất bản trong bài đăng này được thu thập vào ngày 10 tháng 11 năm 2017. Các trang web cụ thể đang chạy tập lệnh Coinhive và chỉ số của các tên miền này sẽ thay đổi theo thời gian. Chúng tôi sẽ cập nhật bài đăng này theo định kỳ.

Nắm bắt các chỉ số

Vì vậy, bây giờ chúng tôi có một danh sách đẹp các miền bị ảnh hưởng, hãy phân tích cú pháp một số chỉ số. Chúng tôi sẽ trích xuất thông tin sau cho từng miền:

  • TLD (Tên miền cấp cao nhất như .com, .net, .co.uk, v.v.)
  • Ngôn ngữ
  • CMS hoặc Framework (Hệ thống quản lý nội dung, chẳng hạn như Drupal, WordPress, v.v.)
  • Danh mục trang web
  • Xếp hạng Alexa
  • Trạng thái Duyệt web An toàn của Google
  • Địa chỉ IP lưu trữ
  • Lưu trữ vị trí địa lý
  • Xếp hạng SEO hùng vĩ
  • Lưu lượng Công cụ Tìm kiếm Ước tính
  • Chia sẻ trên Facebook

Công cụ duy nhất, trong mắt chúng tôi, cho một công việc như vậy là A-Parser, một công cụ phân tích cú pháp cực kỳ linh hoạt có thể phân tích cú pháp hầu hết các chỉ số mà chúng ta cần và có thể tùy chỉnh rất nhiều.

Thiết lập A-Parser ban đầu của chúng tôi

Dưới đây là một số nguồn khác mà chúng tôi sẽ sử dụng để thu thập số liệu của mình:

  • Chúng tôi sẽ sử dụng API danh mục trang web để có được Danh mục Trang web.
  • Chúng tôi sẽ sử dụng John Kurkowski’s tldextract để trích xuất TLD.
  • Chúng tôi sẽ sử dụng trình phân tích cú pháp “Net :: DNS” của A-Parser để truy xuất địa chỉ IP và sau đó cấp dữ liệu này vào API ipinfo.io sử dụng trình phân tích cú pháp tùy chỉnh, trong A-Parser, để thu thập Vị trí Lưu trữ Trang web.
  • Chúng tôi sẽ sử dụng API hùng vĩ để thu thập dữ liệu SEO TF (Trust Flow) và CF (Citation Flow) của họ.
  • Chúng tôi sẽ sử dụng API tra cứu duyệt web an toàn (v4) để thu thập dữ liệu Duyệt web an toàn.

Sau khi kiểm tra nhanh các cài đặt của mình, chúng tôi đã đưa A-Parser vào hoạt động và bắt đầu làm việc trên các tập lệnh cho các chỉ số không được hỗ trợ ở trên.

kết quả kiểm tra a-parserĐầu ra có vẻ tốt!

Kết quả ban đầu

Xuống hố thỏ, chúng ta đi! Kết quả phân tích cú pháp của chúng tôi được hiển thị trong bảng bên dưới.

Bảng phân tích Coinhive

Mở trong Google Trang tính

Quan sát ngay lập tức

Khi xem xét dữ liệu của chúng tôi, một điều trở nên rõ ràng ngay lập tức là có rất nhiều miền .ir (Iran), tất cả được lưu trữ trên cùng một địa chỉ IP, sử dụng cùng một PHP Framework, Laravel.

Biểu đồ TLDBiểu đồ CMSBiểu đồ IP

Đó là 4.462 (50,8%) tên miền trên .ir TLDs, 4,565 (52%) trên 108.61.170.199 IP4.347 (49,5%) đang chạy Khung Laravel. Tại thời điểm này, sẽ an toàn nếu giả định rằng phần lớn các miền có bất kỳ chỉ số nào trong số này được kết nối với nhau.

Hãy chạy một truy vấn MySQL đơn giản để xác minh:

CHỌN ĐẾM (*) TỪ `coinhive_table` WHERE` tld` = ‘ir’ AND `cms` = ‘Laravel’ AND` ipaddress` = ‘108.61.170.199’;

4205 kết quả

Có một số điều cần lưu ý tại thời điểm này:

  1. Một số thực thể có khả năng chịu trách nhiệm cho hơn 4.205 miền Iran đang chạy tập lệnh này.
  2. Những miền này có thể nên được xóa để kiểm tra dữ liệu của chúng tôi thêm và có được bức tranh tổng thể tốt, về điều này sau.

Kết nối Iran

Những miền này đáng để chúng ta đào sâu hơn, hãy xem một số miền mẫu:

0002.ir

0004.ir

0005.ir

aaaaaa.ir

aadd.ir

aaii.ir

zbd.ir

zbf.ir

zbk.ir

Như bạn có thể thấy, chúng có vẻ như đã được đăng ký bằng một tập lệnh đơn giản với các mục nhập 0-9 và a-z.

Dưới đây là giao diện của các trang web, những trang web mà chúng tôi đã kiểm tra tại chỗ giống hệt nhau ngoại trừ tên miền:

Tất cả các trang web đều giống nhau

Điều này bắt đầu giống với các miền bị tấn công / bị khai thác và giống với một thứ gì đó khác! Tất cả các miền đều được rao bán và trỏ hướng qua dns4.ir, chi tiết WHOIS của trang web này khớp với WHOIS cho nhiều miền trong số này.

Hành vi phạm lỗi không rõ ràng, nhưng một số câu hỏi thực sự được đặt ra. Về nguyên tắc, làm thế nào một người nào đó kiếm được lợi nhuận từ việc đăng ký hơn 4.000 miền, với giá khoảng 25 đô la mỗi miền? Các miền không hiển thị lưu lượng tìm kiếm ước tính, không có liên kết đến và rất ít hiển thị bất kỳ hoạt động xã hội nào. Cho dù có điều gì đó đáng ngại đang xảy ra hay đây chỉ đơn giản là một thiết lập lưu trữ tên miền phức tạp hiện vẫn chưa được xác định. Chúng tôi đang hướng tới ý tưởng rằng đây chỉ là việc kiếm tiền từ các miền trỏ hướng, được thiết lập bởi người cư ngụ.

Kết quả được lọc

Chúng tôi đã xóa các miền .ir khỏi kết quả của mình và xem xét lại dữ liệu; chúng tôi hiện đang xem xét 4.324 tên miền.

Bảng phân tích Coinhive đã lọc

Mở trong Google Trang tính

Chia sẻ trên Facebook

Biểu đồ chia sẻ trên Facebook

Có một số miền có số lượng cổ phiếu Facebook đáng kể, phần lớn dưới 5.000 và một tỷ lệ lớn các trang không có trang nào; 2.194 tên miền (50,7%.)

Hai miền có giá trị quá lớn đối với biểu đồ của chúng tôi:

  • piratebay.red – 737.526.323 lượt chia sẻ
  • mobileoffers.me – 7,536,447 lượt chia sẻ

Lưu lượng tìm kiếm ước tính

Biểu đồ lưu lượng tìm kiếm ước tính

Biểu đồ này hiển thị lưu lượng tìm kiếm ước tính của các miền. Như bạn thấy, có một số miền có lưu lượng truy cập đáng kể. Tuy nhiên, 3.636 miền (84,1%) không có lưu lượng truy cập dự đoán nào cả.

Xếp hạng Alexa (Thấp hơn là tốt hơn)

Biểu đồ xếp hạng Alexa

Nơi các miền thực sự được tính điểm, Xếp hạng Alexa của các trang web khá đồng đều. Có một tỷ lệ phần trăm đáng kể trong số các tên miền này có số điểm dưới 5 triệu (5 triệu trang web hàng đầu đang tồn tại, theo Alexa). Tuy nhiên, một lần nữa, một phần lớn các tên miền không có xếp hạng. Chúng tôi đặt các miền không xếp hạng này có số điểm là 21.000.000, vì vậy chúng có thể được hình dung ở đây (Alexa chỉ chấm điểm cho 20 triệu trang web hàng đầu). Có tổng số 2.678 (61,9%) miền không có xếp hạng.

CMS bị ảnh hưởng

Biểu đồ CMS

Số lượng miền lớn nhất đang chạy WordPress, điều này không có gì đáng ngạc nhiên khi xem xét nó là một trong những phổ biến hơn đang tồn tại. Tuy nhiên, nó nổi tiếng là thường xuyên bị tấn công.

Tại thời điểm này, vẫn chưa rõ liệu các miền WordPress này có bị xâm phạm hay không. Để thiết lập điều này sẽ cần điều tra thêm. Chúng tôi có thể xem xét các phiên bản WordPress đang sử dụng và phân tích các trang web riêng lẻ để xác định điều này, điều gì đó chúng tôi có thể giải quyết sau.

Ngôn ngữ trang web

Biểu đồ ngôn ngữ trang web

Tiếng Anh là ngôn ngữ chính được sử dụng, nhưng có một số lượng lớn các trang web sử dụng tiếng Nga. Điều này có thể là do quản trị viên web người Nga thông thạo tiền điện tử và công nghệ hơn quản trị viên web trung bình của bạn.

Trạng thái Duyệt web An toàn của Google

Biểu đồ Duyệt web An toàn của Google

Phần lớn các trang web được Google coi là an toàn, chỉ có 47 trang web được đánh dấu là không an toàn. Điều này cho thấy rằng Google, hiện tại, không coi tập lệnh Coinhive là phần mềm độc hại.

Danh mục trang web

Biểu đồ danh mục trang web

57,4% các trang web được phân loại là các trang web kinh doanh. Chúng tôi đã kiểm tra một số trang web này và cảm thấy rằng danh mục này hơi rộng, vì vậy dữ liệu ở đây không được sử dụng nhiều. Một số lượng lớn các trang web dành cho người lớn dường như cũng đang sử dụng tập lệnh, có lẽ cố gắng hết sức để không làm gián đoạn(!) khách truy cập của họ bằng quảng cáo hoặc sử dụng Coinhive như một nguồn thu nhập bổ sung.

Số liệu SEO

Các chỉ số SEO mà chúng tôi sử dụng là TF (Dòng tin cậy) và CF (Dòng trích dẫn) từ Hùng vĩ. Cả hai đều được cho điểm trên thang điểm từ 0-100. Để tóm tắt hai số liệu này:

  • Trust Flow là một chỉ báo về mức độ đáng tin cậy của các liên kết ngược trỏ đến trang web. Nếu một trang web được liên kết đến từ các trang web đáng tin cậy, điểm sẽ cao, nếu nó được liên kết đến từ các trang web đáng ngờ, điểm sẽ thấp.
  • Citation Flow được sử dụng để xác định mức độ ảnh hưởng của một trang web dựa trên số lượng liên kết đến mà nó có.

Biểu đồ khu vực số liệu SEO

Các trang web có số điểm cao hơn 0 dường như có sự phân bổ điểm tương đối đồng đều từ Majestic. Để phân tích thêm hai số liệu này, chúng tôi cũng đã tạo một số biểu đồ đường:

Biểu đồ dòng chảy tin cậy

Biểu đồ dòng trích dẫn

Như bạn có thể thấy, phần lớn các trang web có điểm 0, với nhiều trang web đạt điểm thấp hơn của thang điểm.

TLD bị ảnh hưởng

Biểu đồ TLD

Một số lượng lớn các tên miền .com, nhưng một lần nữa, một số lượng lớn các tên miền .ru (tiếng Nga). Ngoài ra còn có một số miền .in (Ấn Độ) và .de (Đức).

Địa chỉ IP bị ảnh hưởng

Có tổng cộng 2.936 địa chỉ IP trong dữ liệu của chúng tôi. Chúng tôi có thể phân tích thêm nếu các địa chỉ IP cụ thể đang lưu trữ nhiều miền bị ảnh hưởng bên dưới:

Biểu đồ địa chỉ IP

Như được tiết lộ trong biểu đồ, một số địa chỉ IP đang lưu trữ nhiều trang web. Chúng tôi có thể thấy rằng chủ sở hữu của các miền .ir, sử dụng IP 108.61.170.199, vẫn có một số miền trong dữ liệu của chúng tôi được lưu trữ trên các TLD khác nhau.

Các IP khác lưu trữ tập lệnh trên nhiều miền có thể được giải thích bằng một trong những điều sau:

  1. Quản trị viên web đang lưu trữ nhiều miền trên một máy chủ và cài đặt tập lệnh trên nhiều miền của họ.
  2. Máy chủ web đã bị xâm nhập và nhiều trang web trên máy chủ bị “nhiễm”.

Địa điểm lưu trữ

Biểu đồ vị trí lưu trữ

Phần lớn các trang web chạy tập lệnh Coinhive được lưu trữ ở Mỹ, Đức và Nga cũng có những con số đáng chú ý.

Dữ liệu đáng chú ý – Đáng tin cậy & Trang web có lượng truy cập cao

Trang web đồ lót

  • penelopelingerie.fr

penelopelingerie.fr

Một cửa hàng đồ lót trực tuyến dường như phổ biến đối với khách hàng Pháp. Đầu tiên được thêm vào Wayback Machine vào tháng 4 năm 2013 với cùng một địa chỉ cửa hàng thực trên trang web như họ hiện có.

  • Chia sẻ trên Facebook: 3.177
  • Xếp hạng Alexa: 3.026.277

VERDICT: Có thể bị tấn công

Nhạc sĩ

  • vintageculture.com.br

vintageculture.com.br

Trang web này dường như là trang web chính cho một Nhạc sĩ Brazil, “Văn hóa cổ điển”. Ngoài tập lệnh Coinhive, trang web dường như đang hoạt động bình thường. Thật khó để xác định liệu trang web này đang chạy tập lệnh vì lợi nhuận hay tập lệnh đã được đặt với mục đích xấu.

  • Chia sẻ trên Facebook: 24.341
  • Xếp hạng Alexa: 1.959.414

VERDICT: Không xác định

Google Blog

  • sohoandroid.blogspot.com
  • rickandmortyfullhd.blogspot.com
  • joatamon.blogspot.com
  • ilikewarp.blogspot.com
  • piliday.blogspot.com
  • hentairpgmaker.blogspot.com
  • proboxnatv.blogspot.com
  • farmnetly.blogspot.com
  • i-ptv.blogspot.com
  • ozlemsencanblog.blogspot.com
  • androidrepublica.blogspot.com
  • angiofoods.blogspot.com
  • megavideotunisie.blogspot.com
  • adrenetgames.blogspot.com
  • Downloadroat.blogspot.com

sohoandroid.blogspot.com

Điều thú vị là nền tảng của Google, Blogger / Blogspot, có nhiều miền phụ đang chạy tập lệnh coinhive. Dường như người dùng có thể tham khảo Javascript bên ngoài, vì vậy họ có thể tạo các blog “spam” trên nền tảng Google và sử dụng tập lệnh Coinhive để kiếm tiền từ chúng.

  • Chia sẻ trên Facebook: 0 đến 766
  • Xếp hạng Alexa: Không được xếp hạng lên 209.635

VERDICT: Do người dùng thêm vào

Các trang web chia sẻ tệp

  • piratebay.red
  • kickass.cd
  • alluc.ee

piratebay.red

Pirate Bay là công khai sử dụng tập lệnh coinhive như một phương thức kiếm tiền. Sẽ an toàn nếu giả định rằng điều tương tự cũng có thể nói về các trang web chia sẻ tệp khác mà chúng tôi đã tìm thấy.

  • Chia sẻ trên Facebook: 2,437 đến 737,526,323
  • Xếp hạng Alexa: 16768 đến 2214

VERDICT: Do quản trị viên web thêm vào

Trang web của Chính phủ

  • secheep.gov.ar
  • Cultura.rj.gov.br (Có vẻ như đã được dọn dẹp bây giờ)

secheep.gov.ar

Khá là sốc! Hai trang web của chính phủ được phát hiện đang chạy tập lệnh coinhive. Trang web của chính phủ Brazil dường như đã xóa nó, nhưng nó vẫn chạy và có thể xem được trong mã nguồn trên một trang web do chính phủ Argentina điều hành.

Chúng tôi không thể xác nhận liệu điều này có được đặt một cách ác ý hay không, tuy nhiên, bạn nghĩ rằng bất kỳ trang web nào chạy trên máy chủ của chính phủ đều phải được bảo mật đầy đủ. Bạn phải tự hỏi liệu chính phủ Argentina có thu lợi từ việc điều hành Coinhive hay không.

  • Chia sẻ trên Facebook: 10 đến 23.424
  • Xếp hạng Alexa: 949.052 đến 889.516

VERDICT: Không xác định

Viện giáo dục

  • udc.edu.mx
  • lsu.edu.ph
  • uaf.edu.mx
  • florida.edu.vn
  • aplusenglish.edu.vn
  • isquareit.ac.in
  • stieieu.ac.id
  • farzanegan.ac.ir

udc.edu.mx

Một số cơ sở giáo dục gây sốc có script coinhive trên trang web của họ. Một lần nữa, thật khó để xác định liệu các trang web này có cố ý làm như vậy hay không. Bất kỳ người dùng nào truy cập các trang web này đang chạy Malwarebytes Pro sẽ thấy một thông báo bật lên cho thấy rằng tập lệnh đã bị chặn, vì vậy bạn sẽ nghĩ rằng điều này đã được báo cáo ngay bây giờ.

  • Chia sẻ trên Facebook: 0 đến 1,276
  • Xếp hạng Alexa: Không được xếp hạng lên 996.287

VERDICT: Không xác định

Tên miền phụ Github

  • akagi201.github.io

akagi201.github.io

Miền phụ GitHub này đang chuyển hướng đến “miền bị nhiễm”. Người dùng đã thiết lập một miền phụ trên GitHub và thay vì đặt mã trực tiếp, họ đã chuyển hướng trang GitHub đến miền mà họ kiểm soát. Miền này có mã coinhive.

  • Chia sẻ trên Facebook: 0
  • Xếp hạng Alexa: Không được xếp hạng

VERDICT: Do người dùng thêm vào

Tóm lược

Một số điểm chính cần rút ra từ phân tích của chúng tôi như sau:

  • Phần lớn các trang web đáng tin cậy hoặc các trang web có lưu lượng truy cập đáng kể đang chạy tập lệnh đang làm như vậy, cố ý hoặc do người dùng thêm tập lệnh vào trang của họ. Có khả năng một số trong số này đã bị tấn công nhưng tại thời điểm này, điều này khó có thể chứng minh.
  • Một số trang web chính có thể đã bị tấn công
  • Phần lớn các trang web khác chạy tập lệnh có giao thông quá ít rằng họ sự gián đoạn cho người dùng có lẽ là không đáng kể.
  • Người thống trị miền đỗ xe có thể đang sử dụng coinhive để kiếm tiền. Nếu lập trường của Google thay đổi đối với Coinhive, điều này có thể làm giảm giá trị các miền về doanh số bán hàng trong tương lai.
  • Trang web người lớn dường như cởi mở để sử dụng tập lệnh.
  • Các trang web chính phủ và giáo dục đang chạy script.
  • Tên miền phụ trên Nền tảng blog của Google đang chạy tập lệnh.
  • Đây không phải là một lượng lớn bằng chứng về việc hack. Mặc dù nhiều trang web có khả năng bị tấn công, nhưng vấn đề có vẻ không phổ biến.

Khi các tùy chọn khai thác trình duyệt bổ sung có sẵn, chúng ta có thể thấy ngày càng nhiều trang web sử dụng tập lệnh để kiếm tiền từ người dùng của họ trong nền và ngày càng có nhiều tin tặc chèn mã vào các trang web bị xâm phạm. Một số công ty, chẳng hạn như NIMIQ, hiện đang phát triển các loại tiền điện tử cụ thể của trình duyệt.

Tin tặc và những kẻ xấu thường chọn hình thức thu nhập ẩn danh nhất trên các trang web bị tấn công. Đây có thể là Mạng liên kết không đặt câu hỏi hoặc mạng SEO tinh ranh sẽ trả tiền cho các liên kết ngược trên các trang web bị tấn công. Khả năng khai thác ẩn danh bằng cách sử dụng các trang web bị xâm nhập sẽ là một lựa chọn hợp lý cho các tin tặc đang tìm kiếm khoản thanh toán không thể truy cập được cho các tội ác của họ và các quản trị viên web đang tìm cách kiếm thêm thu nhập từ các trang web của họ.

Giống như tiền điện tử hoặc internet, thực tế là khai thác trên trình duyệt có thể bị khai thác hoặc sử dụng theo những cách thâm độc không có nghĩa là chúng không nên tồn tại. Chúng ta nên giữ tư tưởng cởi mở và có các cuộc thảo luận mang tính xây dựng về việc khai thác trình duyệt trong tương lai.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me