我们最近注意到,某在线网络广告商会将来自 的网页挖矿程序,插入到自己广告平台中,利用最终用户的浏览器算力,挖取比特币获利。

P公司是一家在线广告网络公司,负责完成广告和广告位之间的匹配,并从中获取收入; 是一种浏览器插件,用户可以利用来屏蔽广告。显然,上述两者之间有长久的利益冲突和技术对抗。

在2017-09之前,我们就注意到 P公司 会利用类似 DGA 的技术,生成一组看似随机的域名,绕过 ,从而保证其投放的广告能够到达最终用户,我们将这组域名称为 DGA.popad。

从2017-12开始,我们观察到P公司开始利用这些 DGA.popad 域名,插入挖矿代码牟利。

广告网络公司与广告屏蔽插件之间的对抗并不是新鲜事,但是广告网络公司参与到眼下流行的网页挖矿,这值得引起我们的注意。

P公司背景简介

P公司是一家在线广告网络()公司。所谓在线网络公司,其主要工作是连接广告主()和媒体(),聚合提供的广告位,并与广告主的需求进行匹配。它们的关系可以从下图简单说明,更多关于的信息请参考[1]:

是一个浏览器广告屏蔽插件。由于可以用来屏蔽广告,所以与上述在线广告网络公司是有利益冲突的。但是因为屏蔽不必要的广告可以提高用户体验,所以也获得了相当多的用户,按照 在商店中的说法,其用户数量超过4千万。

利益冲突带来了技术对抗,不同广告商采用了多种技术来对抗[2]及其同类工具。P公司的做法是利用一组看似随机的域名,我们在2017-09以前注意到了这一点,并称其为DGA.popad。

DGA.popad是利用类似DGA( )的技术生成的,不容易被之类的工具拦截[3]。部分域名如下表所示,其泛化表达形式为[a-z]{8,14}.(bid|com)。上有人开源了一个项目[4],列出P公司正在使用的DGA域名,可以导入到。

.bid

.bid

.bid

.bid

.bid

有运维pDNS的朋友可以试试看,你们的库中应该存在大量的DGA.popad。

注意到至少从2017-12开始,P公司开始利用 DGA.popad挖矿

从2017-Q4开始,网页挖矿逐渐成为安全社区关注的焦点。网页挖矿的本质是利用某些网站提供的脚本,利用用户终端浏览器算力获取比特币或者其他代币。有若干大站被报道牵涉其中,比如中国的南方周末[5]以及知名的海盗湾[6]。

DGA.popad 系列域名,在2017-09被我们初次注意到时,是可以确定并没有参与网页挖矿的。但是从2017-12,我们对全网网页挖矿情况做度量时(见之前文章 和),发现这些域名开始参与挖矿。

被我们注意到的原因也很简单,这些域名与系列域名有紧密的关系,可以确认投递了.min.js挖矿程序,并且在alexa域名排名中的位置比较高。熟悉我们的读者还记得,我们在之前的文章里已经提到,alexa Top 30万域名中挖矿相关的网站已经被我们监控。

依据的数据,这些域名的 alexa 排名分别是:

1999

2011

2071

2192

2442

2965

3026

为了确认上述挖矿事实,我们尝试了访问 DGA.popad 系列域名之一 .bid。在打开页面的瞬间,CPU利用已经飙升到100%,如下图所示。

并且我们确认,访问 DGA.popad 网站的.ico文件时,实际返回的,也是挖矿脚本。如下图所示:

DGA.popad 系列网站网页挖矿的流量来源

由于广告网络涉及到众多不同利益相关方,事件分析过程需要完整且精确。第一步需要 搞清楚挖矿相关的流量来源。我们利用 系统,查找了过去两个月DGA.popad的历史关联域名,发现数据源主要集中在色情站以及bt下载资源站。具体的关联域名如下:

.la

btdb.to

ouo.io

rarbg.is

.co

ouo.press

.me

img.yt

.nyaa.si

.my

.pe

详细流程分析

我们以上面列表中的第一个域名来实际看看整个数据流程是怎么样的。由于DGA.popad 和 之间存在对抗,是否开启,对应的流程有细微的区别,下面我们分两节分别描述其过程。

不开启

其流程如下:

开启

开启的流程和不开启的流程类似,不同只是承载广告功能的域名由转为(DGA.popad 系列域名之一)。整个流程如下:

DGA.popad 系列网站的挖矿的影响范围和挖矿收益

影响范围:

挖矿收益不确定:

后续我们会继续关注此类域名的行为,如果您有这方面更详细的数据,也请欢迎向我们反馈。

参考链接

+&spell=1&sa=X&ved=A&biw=1920&bih=1067

%.min.js%22

别人看新闻,我们看内幕。

360网络安全研究院

官网: