实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案
01
前言
近日据某客户反馈,现场存在浏览器挖矿告警事件,经排查非误报而是客户的个人办公电脑访问了被植入了挖矿脚本的页面,然后在个人电脑侧利用Chrome进程开始了挖矿行为。本文结合安恒AXDR平台对整个事件进行了大致描述,分析了具体技术及检测思路。
02
挖矿场景
图1 挖矿场景
设备 | 常见算法类型 | 常见币种类型 |
ASIC | SHA256/ Ethash/ Scrypt/ CryptoNight/ X11 | Bitcoin / Litecoin/ Zcash / Dash/ Dogecoin |
GPU | SHA/Equihash/ NeoScrypt/ ProgPoW/ Cuckoo | Ethereum/ Ethereum Classic/ ravencoin/ Ergon |
CPU | RandomX/ Argon2d/ YesPower/ Various Algo | Monero/ BitcoinMono/ Kevacoin |
HDD | Proof of Capacity | Chia/ LitecoinHD/ BitcoinHD |
表1 常见算法及币种
以挖矿攻击的目标来看,除去常见的主机挖矿还有曾经风靡一时的浏览器挖矿,Coin-Hive作为当时挖矿的首选,它的官方站点虽然已经关闭,但是市面上还是存在不少类似服务站点。而挖矿的流程大致如下所示,从最开始的漏洞利用到对于主机的远程控制、挖矿程序的下载、挖矿脚本的植入,再到矿池信息同步。
图2 主机挖矿
图3 Web挖矿
03
Web加密挖矿分析
近日在确认某客户发来的告警反馈时,经排查发现了一起浏览器挖矿事件。当时是通过AXDR平台的终端管理平台的响应中心远程登录发生告警IP的主机,查看主机上的异常进程,此时未发现CPU占用偏高的情况,但是客户反馈使用时确有卡顿的情况,再回头看场景分析中浏览器挖矿的初始告警。
图4 挖矿分析场景
图5 告警详情
发现该告警是在请求一个站点时触发的,且在只有在访问页面时CPU占用偏高。可以看到Chrome浏览器CPU占用率超高。
图6 Chrome挖矿进程
通过对网页页面JavaScript的分析发现了一串混淆后的几行远程加载挖矿执行程序的JavaScript代码,后续确认该站点已被植入恶意脚本,每当用户请求该站点时就会加载脚本从而在用户侧触发挖矿事件的发生。以下是对Web挖矿实例的简单分析。
1.网络通信:Wss协议矿池通信
该人员最开始泄露了一个包括builder、decryptor和locker三个组件源代码的加密压缩包,并没有给出密码,声称是防止造成过大的损害;但是随即他又泄露了一个不带密码的源代码压缩包,并从中删去了locker组件的实现代码。
2.工作线程:多线程交互挖矿任务及计算结果
3.模块调用:调用wasm的cryptonight算法函数进行js调用
4.Javascript:JS标签挖矿调用(例)
5.明文通信:理论上常见的Web挖矿的格式和PC挖矿的RPC的json数据格式交互类似如下所示。
6.密文通信:该案例不仅存在明文挖矿的情况还存在对Web通信及Wasm文件的加密处理后即可bypass AV检测,流量如下所示:.工作线程:多线程交互挖矿任务及计算结果
7.反编译:Wasm2wat导出导入函数查看,有些恶意wasm能看见明显挖矿算法相关的字符,如下所示。
从上述信息可得到在植入代码后大致流程为和矿池的通信(登录、获取任务、提交结果)、hash的计算(多线程的运作),且设置CPU使用率非100%以降低用户的警惕性。
04
检测手段
“
挖矿脚本的规则检测。通过对HTTP的响应做检测,可发现植入的Javascript挖矿代码。
图8 挖矿脚本检测
“
2.Wasm执行文件的反编译检测。AXDR平台的流量探针的深度引擎,通过对Wasm文件进行反编译,可以发现用于挖矿的二进制程序。
图9 Wasm可执行文件的检测
05
总结
利用浏览器的挖矿事件在于攻击行为更加隐蔽难以发现,不像主机挖矿容易影响正常业务而被运维人员发现,它的攻击对象更倾向于普通用户,因为现如今的设备性能远远强于以前,PC、手机用来应付人们的日常需求绰绰有余,使得这些挖矿脚本的植入对象不仅仅局限于网页,还可以是物联网、安卓移动设备等等。本文分享的案例,不同于以往的浏览器挖矿,而是通过加载Wasm二进制程序且通信过程是加密的,整个挖矿过程十分隐蔽,绕过了大多数防护设备。我们AXDR高级威胁与分析系统基于自主研发的检测引擎可精准检测该挖矿行为,并且通过终端的调查取证能力可快速定位和分析挖矿进程,因此可以快速高效的进行挖矿事件响应和处置。