Web挖矿攻击分析与防御指南

一、事件概述

2018年2月，360云安全系统监测到国内某DSP广告平台被嵌入了挖矿脚本，该脚本随广告平台投放的广告一起插入到网页中传播。这种攻击方式的特点是：

• 无论用户是否点击查看广告，均会自动触发挖矿代码执行
• 单日访问量超过百万次
• 影响多家知名网站
• 导致中招机器CPU资源被大量占用

二、攻击技术分析

1. 攻击传播途径

攻击者通过广告联盟平台投放恶意广告代码，利用以下传播链：

广告平台 → 嵌入挖矿JS → 网站广告位 → 用户浏览器

2. 挖矿技术实现

攻击者采用了两种不同的挖矿技术：

方案一：自建矿池

• 使用deepMiner中间件构建自建门罗币Web挖矿矿池
• 矿池地址：wss://kw.c******g.com/api
• 优势：省去矿池佣金，但需要足够算力支持

方案二：使用Coinhive

• 直接嵌入Coinhive挖矿脚本
• Site_Key: 76kBm8jdLIfdkW6rWAbAs58122fovBys
• CPU占用阈值(throttle)设置为50%

3. 代码混淆技术

攻击者使用了高级混淆技术：

• 关键JS脚本采用AES+Base64加密
• 加密密钥：'NBR2513UXFME9B4MWUTTIUKCELEIBRC4'
• 通过iframe多层嵌套隐藏真实挖矿地址

三、攻击特征分析

1. 域名特征

• 一个域名于2018年2月2日新注册并添加隐私保护
• 另一个域名于2012年注册
• 新注册域名请求量呈现指数级增长

2. 传播趋势

攻击呈现明显的规模化特征，通过大型广告平台快速扩散。

四、受影响网站示例

部分受影响的知名网站包括：

• www.4399.com
• Bbs.duowan.com
• Mini.eastday.com
• Shop.9you.com
• www.52pk.com
• Bbs.gfan.com
• www.80dyy.cc
• www.chinadmd.com

(完整列表见原文)

五、防御措施

1. 终端用户防护

• 安装专业安全软件(如360安全卫士)并开启实时防护
• 使用具有反挖矿功能的浏览器(如360浏览器)
• 监控系统CPU异常占用情况

2. 网站管理员防护

• 严格审核第三方广告代码
• 监控广告资源加载行为
• 建立JS脚本白名单机制
• 定期安全审计广告合作伙伴

3. 广告平台防护

• 加强广告代码审核机制
• 实施恶意代码检测系统
• 建立广告投放追溯机制
• 监控异常流量模式

六、技术检测方法

1. 检测可疑的iframe嵌套结构
2. 监控异常WebSocket连接(wss://)
3. 识别加密的JS代码特征(AES+Base64)
4. 检测已知挖矿脚本特征(如Coinhive、deepMiner)
5. 分析CPU使用率与页面活动的相关性

七、总结

本次事件揭示了Web挖矿攻击的新趋势：

1. 从攻击单个网站转向攻击大型平台系统(如广告平台、CRM系统)
2. 利用合法商业渠道进行隐蔽传播
3. 采用更复杂的技术手段(自建矿池、代码加密)
4. 攻击规模更大，影响范围更广

防御此类攻击需要终端用户、网站管理员和广告平台多方协作，建立多层防御体系。