AdBlock已通过缓存流行的JavaScript库来应对“cryptojacking”的泛滥 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

AdBlock已通过缓存流行的JavaScript库来应对“cryptojacking”的泛滥

luochicun Web安全 2018年3月27日发布

导语:“cryptojacking”技术越来越先进,已经想出如何绕过广告拦截软件,并通过基于浏览器的广告进行Coinhive JavaScript挖矿。奇虎360的研究人员表示,它最近发现了一个广告网络,该网络使用所谓的域生成算法工具来规避广告拦截工具,并提供链

Crypto_Mining_Bitcoin-680x400.jpg

“cryptojacking”技术越来越先进,已经想出如何绕过广告拦截软件,并通过基于浏览器的广告进行Coinhive JavaScript挖矿。奇虎360的研究人员表示,它最近发现了一个广告网络,该网络使用所谓的域生成算法工具来规避广告拦截工具,并提供链接到包含Coinhive的登录页广告。

什么是“cryptojacking”技

目前,有专家将劫持用户的浏览器用于挖掘加密货币的技术称为“cryptojacking”。在2017年,虽然出现了WannaCry和NotPetya以及CCleaner和Equifax的安全事件,但毫无疑问,较为隐蔽的加密货币矿工工具已成为最活跃、最普遍的威胁。

Coinhive是一个提供恶意JS脚本的网站平台,允许攻击者将脚本挂在到自己的或入侵的网站上,所有访问该网站的用户都可能成为门罗币的挖掘矿工。

Coinhive工具其实是一个Java库,用户访问加载该JS的网站后,Coinhive的JS代码库在用户的浏览器上运行,开始为网站所有者挖掘门罗币,消耗的是用户自己的CPU资源。

DGA的使用让安全检测越来越难

虽然目前研究人员没有对该广告网络加以确认和分析,但他们表示,自2017年以来,该网站已经使用了域名生成算法(domain generation algorithm,DGA)来逃避广告拦截器的检测。

DGA是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效。

Netlab 360的研究员张在峰表示:

从2017年12月开始,Coinhive JavaScript挖矿的技术再次升级,我们发现,再没有最终用户确认的情况下,这些DGA.popad域名也参与加密。

域名生成算法利用随机生成的新域,来逃避广告拦截器的检测。

张在峰接着表示:

广告网络公司和广告拦截插件之间的对抗并不是什么新鲜事,但广告网络参与使用DGA域名的网页挖掘技术就值得我们关注了。

Coinhive的JavaScript挖矿软件经常会被黑客使用,他们会将代码秘密嵌入到网站的恶意广告中,然后利用网站访问者的手机,平板电脑和计算机的CPU处理能力来挖掘门罗币。

当受害者访问具有恶意广告的网站且点击它们时,用户就将被重定向到包含Coinhive JavaScript的popad.net域名。如果用户正在使用广告拦截器,则会阻止用于投放广告的域popad.net。下图就是cryptojacker建立JavaScript代码的位置,它可以检测到广告拦截器并将popad.net域切换成含有Coinhive挖矿的加载广告,该广告会链接到DGA.popad的一个域。

张在峰表示:

当我们试图访问该网站时, CPU的利用率立马提高了一倍。

1.png

虽然这种挖矿技术所带来的利润目前还不清楚,但Netlab 360表示可能会有很多用户受到影响,而某些含有DGA.popad域名的网页已经在Alexa中排进前2000位了,这表明网络流量的使用率非常高。

研究人员对新升级的“cryptojacking”攻击取样后发现,攻击者的攻击情形分多种。比如,由于启用了广告模块,域serve.popad.net就被阻止。这样,这个JavaScript代码将切换到DGA.popad中的一个域名。

研究人员表示,运行DGA广告的网站大多是色情网站和低俗网站。应该说Cryptojacking在过去一年中取得了质的迭代,在过去的一周里,研究人员发现美国第三大报纸——洛杉矶时报的网页上托管了加密挖掘软件,旨在利用访客的 CPU 挖掘门罗币。根据 Troy Mursch 的说法,攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站,并将 Coinhive 软件脚本注入到程序中 。攻击者以一个有关凶杀报告的页面来作为诱饵,该新闻报道了过去12个月中在洛杉矶遇害的人,这与色情网站作为诱饵如出一辙。

AdBlock 

AdBlock是一款chrome中非常著名的广告屏蔽插件,对于普通网站上的广告单元、漂浮广告、视频播放广告、图片广告等,AdBlock都能很好地进行处理,使得用户的Chrome浏览环境瞬间变成小清新。

不过面对Cryptojacking强大的攻击力, AdBlock还是对应的添加了一项新功能,可以在用户的计算机上本地缓存流行的JavaScript库。

AdBlock-new-feature-CDN.png

该功能目前只能通过AdBlock Chrome扩展程序使用,但AdBlock发言人表示该功能也将添加到Firefox的扩展程序中。用户要做的就是将其浏览器更新到最新版本,然后进入到扩展程序的设置面板,并启用“为受欢迎的网站库启用本地内容缓存”。

新功能如何工作

默认情况下,AdBlock Chrome扩展程序会拦截网页流量并阻止来自已知广告相关域的资源加载。这个新功能将使用AdBlock的预先存在的功能来查找网站源代码中流行的JavaScript库,然后跳过加载远程库,直接从本地文件夹加载。

AdBlock发言人表示:

“现在,我们开始使用jQuery,因为它已非常广泛的被使用了,在以后的版本中,我们会增加更多的流行库的缓存。”

AdBlock使用jQuery的原因有两个:

首先,通过从本地文件夹提供文件,这意味着网站的加载速度会更快。

其次,与用户隐私相关,特别是从CDN(Content Delivery Networks)加载的JavaScript文件。

新功能还会阻止基于CDN的跟踪

AdBlock发言人表示:

“目前使用最广泛的CDN是由几个大型科技公司垄断者,如谷歌和微软。这些公司会通过绑定用户的个人信息来跟踪对用户的CDN请求。”

通过将常用JavaScript库的副本保存在本地文件夹中,AdBlock可以防止这种额外的跟踪行为。从上面的屏幕截图可以看出,本地缓存功能仍处于测试阶段,并且用户启用该功能时可能会出现错误。

本文翻译自:https://www.bleepingcomputer.com/news/software/adblock-adds-feature-to-cache-popular-javascript-libraries/ https://threatpost.com/ad-network-circumvents-ad-blocking-tools-to-run-in-browser-cryptojacker-scripts/130161/ ,如若转载,请注明原文地址: http://www.4hou.com/web/10562.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论