URLMon系统提供恶意链接检测能力,地址:https://urlscan.watcherlab.com/
系统提供API接口,通过接口提交URL进行自动化检测。
本文主要介绍URLMon系统对网页挖矿的检测,网页挖矿是在网站系统中植入网页挖矿木马,访问者通过浏览器浏览网页挖矿木马站点,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币。由于网页挖矿木马存在很广的传播面和很不错的经济效益,因此广受黑产团体的追捧。
以下介绍URLMon系统对网页挖矿的检测的三种方式。
该检测模型通过对多种挖矿网页的实现方式、代码特点分析,归纳总结其特征,构建出挖矿网页的多特征序列,实现对恶意挖矿网页的自动检测。
典型的网页挖矿如下:coinimp网页挖矿脚本、BrowserMine网页挖矿、Webmine挖矿木马、DeepMiner挖矿代码、authedmine网页挖矿木马、WebMinePool挖矿、Coinimp挖矿、Webmine家族网页挖矿木马、jsecoin挖矿木马。
某URL网页挖矿检测如下:
2 利 用 URL 短 地 址 跳 转 进 行 挖 矿
利用URL短地址跳转进行加密货币挖矿,也是一种挖矿的新方法,这种方法可以很好的逃避检测和加快挖掘速度。这项挖矿技术就是通过恶意URL压缩程序来伪装恶意网站。
3 结 合 威 胁 情 报 挖 矿 行 为 发 现
结合矿池域名、IP地址,实现对网页挖矿的检测。
我们会逐步推出URLMon系统的各种实践场景,欢迎关注!
叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):URLMon应用实践(4):动态清零,基于多特征识别的恶意“挖矿”网页检测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论