為何瀏覽器內的加密貨幣挖掘行為越來越難以檢測到?
道高一尺魔高一丈,不管安全管理方法和技術如何完善,網路犯罪分子總能找到繞過的方法,並進行攻擊,比如對於如今大火的利用瀏覽器挖掘加密貨幣的防禦。
隨著去年年底各種流行的惡意軟體出現之後,網路安全界相應也出現了幾種能夠檢測和阻止加密腳本的解決方案。比如殺毒軟體,廣告攔截器和專用瀏覽器擴展現在已經可以阻止瀏覽器載入與挖礦服務相關的域的JavaScript代碼了。
不夠這反過來又刺激了攻擊者,來採取更高級的辦法來躲避安全檢測。
利用代理伺服器逃避檢測
雖然這種逃避技術已在去年11月份出現,不過直到現在才受到攻擊者的歡迎。
這些技術中最流行和最普遍的是部署一個「cryptojacking代理伺服器」,比如GitHub上提供的CoinHive Stratum Mining Proxy。順便說一句,「cryptojacking」技術就是將劫持用戶的瀏覽器用於挖掘加密貨幣的技術。
在逃避檢測時,這些代理伺服器具有兩個優點。首先,代理伺服器允許攻擊者在自己的域中託管加密腳本,並避免將其通過採用「cryptojacking」服務的域(Coinhive,CryptoLoot,DeepMiner等)進行載入。
「cryptojacking」技術逃避檢測
其次,代理伺服器還允許攻擊者使用自定義的挖礦池,這反過來又允許他們將挖掘過程從加密劫持服務本身中分離出來,並且不需要向Coinhive或任何其他服務支付任何中介費用就可以保留所有開採出來的收益。
總結
目前這種利用代理伺服器逃避的做法已經非常流行,從長遠來看,隨著這些代理工具的盛行,這意味著依賴域黑名單的許多解決方案很快就會過時。此時,用戶只能根據CPU使用率的高低才能發現其瀏覽器中是否存在挖礦腳本。
※遠程桌面協議 CredSSP 存在嚴重漏洞,影響所有版本的 Windows
※醫療影像領域安全狀況令人擔憂
TAG:嘶吼RoarTalk |