TMT观察网_独特视角观察TMT行业

最近，陜西多家企業網站被植入JS網頁挖礦木馬。可以了解到，最初是陜西某燃氣熱力協會網站被植入JS網頁挖礦木馬，等到相關機構進一步找到該網站的運營機構西安長庚網路科技有限公司，發現該公司設計的多個網站均存在植入JS網頁挖礦木馬的情況。

網頁被植入挖礦代碼，不排除有人蓄意利用這些企業網站牟取私利，亦可能是該網站已被黑客入侵的標志。

據曲速未來安全區了解到，全網有超過 3 萬家網站內置了挖礦代碼，只要用戶打開網站進行瀏覽、操作，網站就會調用電腦或手機的計算資源來進行挖礦，全球約有 5 億臺電腦曾被綁架挖礦。

挖礦獲取門羅幣

瀏覽挖礦代碼很多挖的都是門羅幣。門羅幣采用的是 Cryptonight 的挖礦算法，這種算法非常適合在普通電腦上運行，于是黑客為此制定了完美的牟利計劃。

他們利用 javascript 編寫代碼，當用戶載入某個網站的時候，也會載入挖礦代碼。據最大的門羅幣挖礦代碼提供商 Coinhive 的數據顯示，他們的代碼運行效率約等于門羅幣礦機的 65%，未來還有一定的提升空間。

雖然在訪問網站的時間內，用戶只能貢獻一點點的算力，但是積少成多，訪問量越大越賺錢。

多家挖礦代碼提供商都有計算器供開發者預測收入，如果你的網站每天都有 10-20 用戶訪問的話，每天可以收入 0.3 個 XMR，約 270 塊人民幣，每個月可以得到 8100 元的收入。

之前，著名的 BT 資源下載網站海盜灣，就被爆出網站內置了門羅幣的挖礦代碼。在海盜灣的網站上直接囂張地公告：“只要進入海盜灣網站，你就同意我們使用你的 CPU 進行門羅幣挖礦。如果你不同意，你可以立刻離開或者安裝 adblocker。”

但是這段話，只能在海盜灣網站最底端的位置才能看到，而且還被特意調成了小字號。

也就是說，哪怕你只是打開海盜灣看看有沒有更新什么資源，你的電腦 cpu 占用也會瞬間飆到 100%，為海盜灣網站創收提供算力，直到你關掉網站。

目前，流量小一點的網站每天可以獲得幾美元的額外收入，多的可以達到數千美元。如果你在上網的時候覺得自己的電腦和手機莫名其妙地發燙，那么你就要考慮是不是已經被網站利用來挖礦了。

經過曲速未來安全區總結，以下是最容易被黑客盯上并植入挖礦木馬的幾大目標：

目標一：色情網站

據了解，被植入挖礦代碼的網站中，有 68% 的網站為色情網站。

除了這個，這些網站還有進一步的做法，他們會讓挖礦代碼在關閉瀏覽器之后依舊在運行。所以，即使用戶發現了這些挖礦網站并關閉瀏覽器，相關代碼仍然能夠繼續運行并占用CPU資源。

其實，在關閉瀏覽器之后，挖礦代碼仍然在系統內隱藏了一個窗口，從而繼續執行。這個窗口會隱藏在系統任務欄的系統時間之上，用戶可以通過解開任務欄鎖定，將任務欄寬度拉高，隱藏的窗口就會現形，把它關掉挖礦代碼才會停止運行。

目標二：高校查分系統

除了網站所有者自行添加挖礦代碼之外，還有黑客黑入其他網站服務器在代碼中惡意植入挖礦木馬的。高考結束之后，不少高校的網站都被爆出被黑客入侵，考生在查詢考試成績的時候就要為黑客做貢獻。

因為查分網站都有分數公開的時間，大量考生都會開著網頁等待放榜，所以這類網站比其他博客之類的網站更受歡迎。曾經，山東、湖北、河南、黑龍江等多所重點大學的官網都檢測出被植入挖礦木馬。

目標三：游戲外掛

此外，還有不少游戲外掛的開發者也會在外掛中植入挖礦木馬，讓很多貪小便宜、貪圖享受的用戶中招。

除了電腦端，在 Android 手機端也出現了大量包含挖礦木馬的 App。

挖礦代碼背后的黑色產業鏈

挖礦代碼和挖礦木馬背后其實有一整個完整的產業鏈，而且服務非常完善。

打開網頁就進行挖礦，其實這個功能不是網站開發者自己開發的，他們使用的都是網頁挖礦服務商提供的接口。開發者只需要在網頁代碼中插入那么一串代碼，就可以坐享收入。

網頁挖礦服務商給網站開發者提供了各式各樣的挖礦服務，比如驗證碼挖礦、短鏈接接入、靜默挖礦等，只要你敢來，瞬間可以占用你 100% 的電腦資源。

任何產品都有迭代的空間，于是乎，CoinHive 這樣的網頁挖礦服務提供商也在不斷地進化他們的產品，讓網站開發者可以更好地隱藏利用用戶電腦挖礦的事實，為用戶提供更好的服務。

例如，許多網站為了防止垃圾評論，都會采取點擊驗證碼的方式攔截機器人。CoinHive 就提供了類似的反作弊模塊，當用戶在點擊這個按鈕的時候就會開啟網頁挖礦，在驗證完成之后，挖礦停止。

如果用戶真的有意愿等待發帖或者登陸，是完全能夠接受這十幾秒的驗證時間的，但代價就是十幾秒內電腦 CPU 火力全開去挖礦，瞬間升溫幾十度。

除了以上的介紹，利用網站或是APP暗藏挖礦代碼引誘用戶進行挖礦這一操作，在近些年來，早已經積累了厚厚的案底

2017年9月

coinhive 通過JS代碼在網站上掛挖礦程序

9月18日，媒體曝光了全球最大的BT下載網站The Pirate Bay(海盜灣）利用網頁內嵌的Javascript程序（一段JS代碼），“借用”瀏覽者的電腦用作挖掘虛擬貨幣的用途，也就是挖礦。

該行為會使在網站的瀏覽者在瀏覽網站時，挖礦程序的JS代碼就會運行，導致瀏覽插入挖礦代碼網站時CPU占用率很高，甚至100%滿負荷運行。

那么如何通過js代碼來使網站挖礦呢？是在一個 coinhive（https://coin-hive.com/）的網站，該網站專門提供一個用來挖礦的 js 引擎，挖的幣是名稱為 XMR，一個 XMR 大約價格是 95 美元！這個網站提供了豐富的設置，可以調整挖礦時限制CPU使用率，如果調低一些CPU使用率，人們在訪問網站時不查看網站代碼訪問者很難發現。默認的情況只要有人訪問網站，挖礦程序就會工作。

這種網站變現方式的優勢就在于它可以避免在網站上掛一些惡心的廣告來實現盈利，劣勢就是它會占用用戶的 CPU，并且增加耗電量，嚴重者造成訪問者電腦卡頓。

使用的主要代碼如下:

2017年3月

2017年3月，Coinhive的代碼的網站被黑客入侵，竊取了訪客設備的處理能力。當時有多家安全公司將加密貨幣挖礦服務Coinhive定為Web用戶最大的威脅。

Coinhive是一種加密貨幣挖礦服務，靠的是一小段嵌入網站的代碼。該代碼借用訪問網站的瀏覽器的部分或全部計算能力，將該機器列到一個競價系統中，用于挖掘Monero加密貨幣。

Monero與比特幣的不同之處在于，交易是不可追溯的，外部人無法追蹤雙方之間的Monero交易。自然，這種特性使得Monero對于網絡犯罪分子特別有吸引力。

之后Coinhive發布了它的挖礦代碼，宣稱站長們不需要投放侵入性、討厭的廣告也可以獲得收入。但當時沒過多久Coinhive的代碼就成為多家安全公司追蹤的頭號惡意軟件，因為大部分情況下代碼都安裝在被黑的網站上，所有者不知情也未授權。

就像被惡意軟件或特洛伊木馬感染一樣，Coinhive的代碼經常會鎖定用戶的瀏覽器，并耗盡設備的電池，只要訪問者瀏覽網站，它就會全程挖掘Monero。

2017 年11月

當時由于比特幣等虛擬貨幣價值持續上漲，29日甚至漲至11000美元，挖礦事業死灰復燃，大家都看到有利可圖的一面因此紛紛加入挖礦大軍。

于是在當時，又有這么一批主要以成人網站為主的挖礦網站出現。

當用戶訪問這類網站的時候，電腦CPU的占用率將會突然升高，但是并不會吃滿性能。他們希望通過這種方法降低用戶對于電腦變慢變卡之后的疑心，使得電腦仍然能夠正常使用。

除了這個，這些網站還有進一步的做法，他們會讓挖礦代碼在關閉瀏覽器之后依舊在運行。所以，即使用戶發現了這些挖礦網站并關閉瀏覽器，相關代碼仍然能夠繼續運行并占用CPU資源。

其實，在關閉瀏覽器之后，挖礦代碼仍然在系統內隱藏了一個窗口，從而繼續執行。這個窗口會隱藏在系統任務欄的系統時間之上，用戶可以通過解開任務欄鎖定，將任務欄寬度拉高，隱藏的窗口就會現形，把它關掉挖礦代碼才會停止運行。

或者，遇到相應情況的時候，也可以通過系統任務管理器關閉相應進程來停止相關代碼運行。

2017 年 12 月

星巴克集團就確認顧客在其布宜諾斯艾利斯的分店聯網時，首次連接 WiFi 時會有一個 10 秒左右的延遲，在這個空隙間，黑客可以在用戶毫無察覺的情況下挖掘數字貨幣。

不過目前仍未弄清誰是幕后的操作者，其中所涉及的惡意軟件已經被植入了多久，以及有多少用戶受到影響都尚不明確。

針對挖礦的技術層面可以這么解釋：黑客有一個腳本可以執行對 WiFi 網絡的自主攻擊，因為這是一種可以在咖啡館 WiFi 網絡中執行的攻擊。 這種攻擊就是將一些設備連接到 WiFi 網絡，并且攻擊者會在連接過程中攔截用戶和路由器之間的流量。

綜上我們可以看到，為了挖礦成就暴富夢，黑客可以無所不用其極（甚至還可以把礦機放進特斯拉汽車然后連上充電樁）。因此，花式被虐就成了家常便飯。

結語

需要注意的是，目前自動化攻擊已經成為主流，多數攻擊都是黑客通過自動化工具完成的，黑客并不會為了某個網站而專門去發起攻擊，這樣對他們來說成本大于利潤。

隨著黑產技術水平的提升，加上很多網站本身就存在這樣或者那樣的漏洞，黑客其實很容易大批量地感染到這些安全做的不到位的企業。

因此對于網站管理者和網民來說都應該時刻保持警惕，避免漏洞被黑客利用到。