实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

admin 2022年3月14日17:18:42评论228 views字数 2166阅读7分13秒阅读模式

点击蓝字关注我们

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


01

前言

     近日据某客户反馈,现场存在浏览器挖矿告警事件,经排查非误报而是客户的个人办公电脑访问了被植入了挖矿脚本的页面,然后在个人电脑侧利用Chrome进程开始了挖矿行为。本文结合安恒AXDR平台对整个事件进行了大致描述,分析了具体技术及检测思路。


02

挖矿场景


实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图1 挖矿场景

行程

时间

地点

ASIC

SHA256/

Ethash/

Scrypt/

CryptoNight/

X11

Bitcoin /

Litecoin/

Zcash /

Dash/

Dogecoin

GPU

SHA/Equihash/

NeoScrypt/

ProgPoW/

Cuckoo

Ethereum/ 

Ethereum Classic/

ravencoin/ 

Ergon

CPU

RandomX/

Argon2d/

YesPower/

Various Algo

Monero/

BitcoinMono/

Kevacoin

HDD

Proof of Capacity

Chia/

LitecoinHD/

BitcoinHD

表1 常见算法及币种


     以挖矿攻击的目标来看,除去常见的主机挖矿还有曾经风靡一时的浏览器挖矿,Coin-Hive为当时挖矿的首选,它的官方站点虽然已经关闭,但是市面上还是存在不少类似服务站点。而挖矿的流程大致如下所示,从最开始的漏洞利用到对于主机的远程控制、挖矿程序的下载、挖矿脚本的植入,再到矿池信息同步。


实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图2 主机挖矿

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图3 Web挖矿


03

Web加密挖矿分析

      近日在确认某客户发来的告警反馈时,经排查发现了一起浏览器挖矿事件。当时是通过AXDR平台的终端管理平台的响应中心远程登录发生告警IP的主机,查看主机上的异常进程,此时未发现CPU占用偏高的情况,但是客户反馈使用时确有卡顿的情况,再回头看场景分析中浏览器挖矿的初始告警。


实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图4 挖矿分析场景

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图5 告警详情


      发现该告警是在请求一个站点时触发的,且在只有在访问页面时CPU占用偏高。可以看到Chrome浏览器CPU占用率超高

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图6 Chrome挖矿进程


      通过对网页页面JavaScript的分析发现了一串混淆后的几行远程加载挖矿执行程序的JavaScript代码,后续确认该站点已被植入恶意脚本,每当用户请求该站点时就会加载脚本从而在用户侧触发挖矿事件的发生。以下是对Web挖矿实例的简单分析。


1.网络通信:Wss协议矿池通信

     该人员最开始泄露了一个包括builder、decryptor和locker三个组件源代码的加密压缩包,并没有给出密码,声称是防止造成过大的损害;但是随即他又泄露了一个不带密码的源代码压缩包,并从中删去了locker组件的实现代码。

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案
实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


2.工作线程:多线程交互挖矿任务及计算结果

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案
实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


3.模块调用:调用wasm的cryptonight算法函数进行js调用

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


4.Javascript:JS标签挖矿调用(例)

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


5.明文通信:理论上常见的Web挖矿的格式和PC挖矿的RPC的json数据格式交互类似如下所示。

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


6.密文通信:该案例不仅存在明文挖矿的情况还存在对Web通信及Wasm文件的加密处理后即可bypass AV检测,流量如下所示:.工作线程:多线程交互挖矿任务及计算结果

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案
实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


7.反编译:Wasm2wat导出导入函数查看,有些恶意wasm能看见明显挖矿算法相关的字符,如下所示。

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案
实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


      从上述信息可得到在植入代码后大致流程为和矿池的通信(登录、获取任务、提交结果)、hash的计算(多线程的运作),且设置CPU使用率非100%以降低用户的警惕性。

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案
实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案


04

检测手段


  1. 挖矿脚本的规则检测。通过对HTTP的响应做检测,可发现植入的Javascript挖矿代码。

实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图8 挖矿脚本检测


2.Wasm执行文件的反编译检测。AXDR平台的流量探针的深度引擎,通过对Wasm文件进行反编译,可以发现用于挖矿的二进制程序。


实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

图9 Wasm可执行文件的检测


05

总结

      利用浏览器的挖矿事件在于攻击行为更加隐蔽难以发现,不像主机挖矿容易影响正常业务而被运维人员发现,它的攻击对象更倾向于普通用户,因为现如今的设备性能远远强于以前,PC、手机用来应付人们的日常需求绰绰有余,使得这些挖矿脚本的植入对象不仅仅局限于网页,还可以是物联网、安卓移动设备等等。本文分享的案例,不同于以往的浏览器挖矿,而是通过加载Wasm二进制程序且通信过程是加密的,整个挖矿过程十分隐蔽,绕过了大多数防护设备。我们AXDR高级威胁与分析系统基于自主研发的检测引擎可精准检测该挖矿行为,并且通过终端调查取证能力可快速定位分析挖矿进程,因此可以快速高效的进行挖矿事件响应和处置。


实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

AXDR(AiLPHA XDR,AiLPHA高级威胁检测与分析系统)产品简介

01

主打场景:

  1. 护网场景:hvv以及对威胁检测和分析能力要求高的PK场景;

  2. MSS场景:满足“人+产品”模式,提供产品支撑;

  3. 中小企业:轻量级态势感知

02

定位:

     基于安恒威胁检测和分析能力,将网络和终端告警、日志关联,实现快速威胁检测和事件响应解决方案。

03

核心功能:

      精准发现威胁,降低告警量,多种威胁分析能力,快速响应处置,提升安全运营效率。

04

产品形态:

      96G一体机、128G云上软件版、256G高性能软件/软硬一体机。

原文始发于微信公众号(安恒威胁情报中心):实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月14日17:18:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战案例 | 客户浏览器还能被挖矿?!内附AXDR详细解决方案https://cn-sec.com/archives/828436.html

发表评论

匿名网友 填写信息