数千知名国内网站被挂挖矿 原来竟是广告联盟监守自盗

日前，360云安全系统监测到，国内的璧合科技DSP广告平台被嵌入了挖矿脚本，该脚本随广告平台投放的广告一起插入到了网页中，进而传播。当该嵌入了挖矿脚本的广告代码被加载起来，无论用户是否点击查看广告，均会自动触发挖矿代码的执行。该挖矿页面单日访问量逾百万次，多家知名站点受到影响，中招机器CPU资源会被大量占用，直接影响系统正常运行。

如今，Web挖矿攻击已不满足于单个网站挖矿，而是将目标对准流量更大、渠道更广的大型平台系统，如CRM系统、广告平台系统等；我们分析发现该广告平台，通过deepMiner自建了矿池，而不只是使用常见的coinhive，这样可以省去矿池的佣金，但是必须要保证有足够的算力才会有收益，由此也可见平台的覆盖范围比一般的挖矿攻击要大很多。下面就以该广告平台中植入挖矿脚本过程进行简要分析：

广告位插入挖矿JS过程简图：

该恶意挖矿JS代码存放在一个名为“璧合科技股份有限公司”的广告分发平台上，页面地址：http://rtb.my**b.net/getad?wp=AQu0kEUAAFp27CRhXgAJqaP7qk1bzNTKuA%3D%3D&info=CJ3pyAEQ9PoNGAMiDFI5UFdvM2x6cmd3PSoCdF8yCTgxOTEyNDY5MTj8tPPKoJYfQh90X21tXzE3Nzc3OTYwXzE1OTcwODI1XzYxMTMwNDUxSABSIDBiYjQ5MDQ1MDAwMDVhNzZlYzI0NjE1ZTAwMDlhOWEzWgoxNTE3NzQzMTQwsQHIJ2TnbTlcQLkBUmUYd4PcO0DYAQLgAYCjBegB%2FvAM8AEVggIWaHR0cDovL3d3dy5haXF1eHMuY29tL4oCCldpbmRvd3MgMTCSAgZDaHJvbWWiAgRfVFgxqAIAsAKcmbcBuAIAwALgyJmpBsoChgFiaF8wLGJoX2dkXzEwMDAyLGJoX2FnXzEwMDAzLGJoXzEwMDgwMDAwNixiaF8xMDA5MDAwMDIsYmhfMTAxMTAwMDAyLGJoXzEwMTMwMDAwMSxiaF8xMDE0MDAwMDQsYmhfMTAxOTAwMDI0LGJoXzEwMjExMDAwMSxiaF8xMDIxNDAwMDEsLNECAAAAAAAAAADYAgDgAgDoAgHwAgD4AgGCAwE5mAMA&exclickurl=http%3a%2f%2fclick.tanx.com%2fct%3ftanx_k%3d173%26tanx_e%3dvxyFNSUjo7l8NJ2eaOB%252bs%252bLBwnRx3hmLyd6Sd243yrvX3SzmgpedJAml3bcLCtIFtH5mQBEuzUMJS%252f3QArX7UqX3H9h77tFFby81UFbLgLN%252bMu%252ft07S9%252f%252bGGAjzc8QAI9TvCLp3eIHgcNa8C%252bfiap0%252bS8ED3CRXV5fcaiUOyg3w%253d%26tanx_u%3d

从广告位代码中看到其通过iframe嵌入了一个页面：http://kw.cn*****g.com/kww.html#0.5如下图所示 ：

该恶意挖矿JS代码存放在一个名为“璧合科技股份有限公司”的广告分发平台上，页面地址：http://rtb.my**b.net/getad?wp=AQu0kEUAAFp27CRhXgAJqaP7qk1bzNTKuA%3D%3D&info=CJ3pyAEQ9PoNGAMiDFI5UFdvM2x6cmd3PSoCdF8yCTgxOTEyNDY5MTj8tPPKoJYfQh90X21tXzE3Nzc3OTYwXzE1OTcwODI1XzYxMTMwNDUxSABSIDBiYjQ5MDQ1MDAwMDVhNzZlYzI0NjE1ZTAwMDlhOWEzWgoxNTE3NzQzMTQwsQHIJ2TnbTlcQLkBUmUYd4PcO0DYAQLgAYCjBegB%2FvAM8AEVggIWaHR0cDovL3d3dy5haXF1eHMuY29tL4oCCldpbmRvd3MgMTCSAgZDaHJvbWWiAgRfVFgxqAIAsAKcmbcBuAIAwALgyJmpBsoChgFiaF8wLGJoX2dkXzEwMDAyLGJoX2FnXzEwMDAzLGJoXzEwMDgwMDAwNixiaF8xMDA5MDAwMDIsYmhfMTAxMTAwMDAyLGJoXzEwMTMwMDAwMSxiaF8xMDE0MDAwMDQsYmhfMTAxOTAwMDI0LGJoXzEwMjExMDAwMSxiaF8xMDIxNDAwMDEsLNECAAAAAAAAAADYAgDgAgDoAgHwAgD4AgGCAwE5mAMA&exclickurl=http%3a%2f%2fclick.tanx.com%2fct%3ftanx_k%3d173%26tanx_e%3dvxyFNSUjo7l8NJ2eaOB%252bs%252bLBwnRx3hmLyd6Sd243yrvX3SzmgpedJAml3bcLCtIFtH5mQBEuzUMJS%252f3QArX7UqX3H9h77tFFby81UFbLgLN%252bMu%252ft07S9%252f%252bGGAjzc8QAI9TvCLp3eIHgcNa8C%252bfiap0%252bS8ED3CRXV5fcaiUOyg3w%253d%26tanx_u%3d

从广告位代码中看到其通过iframe嵌入了一个页面：http://kw.cn*****g.com/kww.html#0.5如下图所示 ：

\

就在对其进行测试分析的时候发现其最新的广告位中已经更换了iframe的链接地址，其中直接嵌入了coinhive挖矿脚本：

挖矿的Site_Key为：76kBm8jdLIfdkW6rWAbAs58122fovBys

CPU占用阈值throttle为：50%

目前已发现受影的有几千个站点

部分受影响站点如下：

从iframe进去的两个域名注册信息看一个是2018年2月2号注册并且加了隐私保护，注册后域名请求量即出现指数级的增长，另一个是2012年注册。

整体传播趋势图

结语：

对于广大用户来说，使用专业的安全软件进行实时防护检测尤为重要。目前360安全卫士及360浏览器已国内首家推出反挖矿保护功能全面支持拦截此类挖矿脚本，用户只需开启360防护即可。