URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测

admin 2022年7月11日22:01:04评论47 views字数 830阅读2分46秒阅读模式

URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测


0            系  统  概  况                   

URLMon系统提供恶意链接检测能力,地址:https://urlscan.watcherlab.com/
系统提供API接口,通过接口提交URL进行自动化检测。

URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测


本文主要介绍URLMon系统对网页挖矿的检测,网页挖矿是在网站系统中植入网页挖矿木马,访问者通过浏览器浏览网页挖矿木马站点,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币。由于网页挖矿木马存在很广的传播面和很不错的经济效益,因此广受黑产团体的追捧。

以下介绍URLMon系统对网页挖矿的检测的三种方式。


1    基 于  挖 矿 代 码 的 检 测               
该检测模型通过对多种挖矿网页的实现方式、代码特点分析,归纳总结其特征,构建出挖矿网页的多特征序列,实现对恶意挖矿网页的自动检测。

URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测


典型的网页挖矿如下:coinimp网页挖矿脚本、BrowserMine网页挖矿、Webmine挖矿木马、DeepMiner挖矿代码、authedmine网页挖矿木马、WebMinePool挖矿、Coinimp挖矿、Webmine家族网页挖矿木马、jsecoin挖矿木马。
某URL网页挖矿检测如下:

URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测



2      利 用 URL 短 地 址 跳 转 进 行 挖 矿    


利用URL短地址跳转进行加密货币挖矿,也是一种挖矿的新方法,这种方法可以很好的逃避检测和加快挖掘速度。这项挖矿技术就是通过恶意URL压缩程序来伪装恶意网站。

URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测



3      结 合 威 胁 情 报  挖 矿  行 为 发 现            

结合矿池域名、IP地址,实现对网页挖矿的检测。

URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测



我们会逐步推出URLMon系统的各种实践场景,欢迎关注!

叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!




END

URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测
URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测

watcherlab

做数字经济时代的安全守望者

长按扫码可关注



原文始发于微信公众号(守望者实验室):URLMon应用实践(4):动态清零,基于多特征识别的恶意“挖矿”网页检测

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月11日22:01:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   URLMon应用实践(4):动态清零,基于多特征识别的恶意挖矿网页检测http://cn-sec.com/archives/1169840.html

发表评论

匿名网友 填写信息