openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币

从2017年12月24日,我们注意到一组网站正在滥用客户终端浏览器的算力在挖矿。攻击者在利用了 CoinHive 的浏览器端挖矿代码基础上,完全绕过 CoinHive 自己运营,避开了 CoinHive 的抽成费用。提供挖矿服务的域名成组出现,共计22个,最早活动时间是2017-11-29。 涉及使用上述挖矿服务的网站,包括openload.co,oload.stream,thevideo.me,streamcherry.com,streamango.com。其中,openload.co 网站的Alex排名为136,流行程度非常高,这意味着全球范围内有较多的终端用户算力会被攻击者攫取。 5个异常域名 dnsmon

以大站的名义:专注地下产业的网络基础设施

【历史更新记录】 2017-01-10 原始版本 2017-01-16 补充了对服务器IP地址同源性的分析,此处分析指向性较弱,仅为完备性考虑 概述 在奇虎网络安全研究院(netlab@360.cn),我们建立了一个基于DNS的异常流量监测系统,每天会检出若干异常流量以及对应的域名/IP。通常这些被检出的域名/IP都属于地下产业链条。 但是,我们注意到一些代表知名公司的字符串也出现在这些被检出的域名中,包括360, ali, baidu, cloudflare, dnspod, google和microsoft。通过分析,我们认为这是有人冒用大站名义,为赌博、色情、私服等地下产业提供网络基础设施服务。 这一基础设施结构错综复杂,运营时间长、支撑能力强、

DNS中的“无效Rdata”

所谓Rdata是指在DNS记录中与类型相关的数据部分。比如对于DNS的A记录中的IPv4地址或者MX记录中的主机名及其优先级。 在分析DNS的数据过程中,常常能见到各种不同种类的怪异的Rdata。我们把不能有效反应域名和rdata的对应关系的数据称为“无效Rdata”。对这些无效Rdata进行分析是理解DNS数据的一个有趣的切入点。 另外,结合最近火爆的威胁情报,发现很多的数据源中,都包含了这些“无效的Rdata”,它们降低了这些威胁情报的质量。因此对这些无效rdata的过滤是提高威胁情报质量的一个重要手段。 尽管还有很多其他类型的无效的rdata,但是相比IP地址来说,其他种类的数据影响较小。因此本文主要讨论IP地址。 DNS Sinkhole的IP地址 DNS Sinkhole是安全厂商为了研究恶意软件的行为,将恶意软件的网络流量进行接管的一种方式,具体参见wiki的定义。 从PassiveDNS中的数据来看,sinkhole的域名主要集中在使用DGA技术产生随机域名的恶意软件上。比如上一篇blog中提到的conficker,以及大名鼎鼎的GOZ等。现在来看,多数的DGA域名都已经被不同的安全机构做了sinkhole。 除了DGA域名之外,也有安全厂商对特定的恶意软件进行sinkhole,比如卡巴斯基就惯用这种手法对未知的恶意软件使用sinkhole对其网络行为进行研究。

Conficker域名被滥用情况分析

根据对conficker域名的跟踪,我们发现conficker的域名存在明显的滥用。主要表现为浏览器访问conficker域名后,会跳转到广告页面(既有正常业务,也有赌博/色情等灰色业务),有时候还会存在一些垃圾软件(比如虚假的杀毒软件)的推广等。 由于conficker的DGA域名的巨大数量,我们希望了解产生这种状况的原因以及其现在的规模。 Conficker域名现状及被滥用状况 Conficker简介 Conficker是出现于2008年11月,曾感染了数百万台电脑。Conficker有一个独特的特性是它使用了DGA技术。利用随机生成的域名来防止网络设备的封堵。自此以后DGA技术也开始逐渐流行起来。关于conficker和DGA的细节,请参考 。 校验数据集及passvieDNS中的命中情况 我们选取了2010-01-01到2016-09-15这段时间内,由conficker.a 和conficker.b生成的全部的DGA域名作为数据全集,共1225000条域名。 检查这些域名在passiveDNS中的命中情况。排除NXDOMAIN之外,总共命中了216352条。约占总数的17.67%