一次浏览器挖矿分析的意外发现

在不少网站上,管理员接入了第三方应用,例如聊天、支付等等,但是这样安全吗?

最近在深影论坛上淘片时发现多了一个在线聊天平台,交互做的还不错,因为其他原因需要结束个进程,打开任务管理器一看,chrome的CPU使用率达到了30%左右,平常不到1%的使用率现在这么高,第一反应是被“挖矿”了,关了深影论坛的网页,使用率瞬间下降,印证了自己的想法。出于好奇,原以为是深影被黑然后植入挖矿代码,经过分析远远不止如此。

一次浏览器挖矿分析的意外发现

打开chrome,访问触发挖矿代码的页面,拿wireshark抓包分析,发现挖矿代码:

一次浏览器挖矿分析的意外发现

一次浏览器挖矿分析的意外发现

http://52.80.10.9:2333/embed会调用三个js文件,为典型的JS挖矿代码,其中还设置了阈值,可能是怕用户侧感知到卡顿等现象,需要注意的是这个HTTP头中的Referer:

http://www.xianliao.me/h/cf56e1cc3310688cad0b550e65863f95afe3b424274fc247d9a5b8c7f80e98c5ffbc8a1a9a7ef8376312e8d8e7c61d426e9f8f6c1a82542287350723567b4dcc

可以看到地址是www.xianliao.me,闲聊么是一款聊天平台接口,注册公司是上海夜磬网络科技有限公司,提供“一站式网站聊天平台”服务,在很多论坛可以看见其身影。从其官网查询可看到以下论坛都是他的合作对象。

一次浏览器挖矿分析的意外发现

难道是该网站提供的第三方聊天平台服务有挖矿代码?我们继续分析,打开熟悉的人人影视,的确采用了闲聊么的聊天组件,但是却没有触发挖矿代码,这令我很奇怪。查看网页源码:

一次浏览器挖矿分析的意外发现

看到会调用https://www.xianliao.me/embed.js,继续分析该js文件,js中会发起get请求,url拼接规则如下:

一次浏览器挖矿分析的意外发现

但是没找到访问人人影视不触发挖矿代码的原因。随后继续从深影论坛流量中看,想起刚才的referer,查看前一个请求:

一次浏览器挖矿分析的意外发现

相应数据包中找到了嵌入的挖矿地址代码:

一次浏览器挖矿分析的意外发现

该请求的Refere为http://www.shinybbs.info/forum.php?mod=viewthread&tid=89982&page=4,由于host的变化,判断存在跳转,拿出burp来直接观察其跳转过程。

下图为调用本地embed.js,生成的GET请求。

一次浏览器挖矿分析的意外发现

随后响应包中会进行重定向,新的地址为:

www.xianliao.me/h/458b40e2a092203b5318159808f5f532ea2ab0b2e0ecaca373384bc299882a972e4a69a0d561b268ec283b72c9683a77ab947947b4db021d1cc0293a05bc355f

一次浏览器挖矿分析的意外发现

接着带着新生成的URL发起GET,返回的包中有挖矿代码地址。

一次浏览器挖矿分析的意外发现

调用流程应该是本地会将一些参数发送到服务器,然后服务器返回一个“串”,带着该“串”的url再去访问服务器,来决定是否会返回挖矿代码地址。由于是服务器返回的“串”决定其是否返回挖矿代码,因此我们测试数据包中的cookie、referer、url中的参数值,发现最后影响是否返回的真正原因是xml_wid(顺便吐槽一下,测试到最后才发现是该参数,因为参数是写死在html源码里的,以为会根据其他因素去判断结果费了半天劲),经测试该机制为白名单,只有人人影视这种白名单用户才不会返回,输入其他的值均会返回挖矿代码地址。

至此,整个流程就搞通了,闲聊么网站依靠可以免费接入的聊天平台进行浏览器挖矿,当然我们不排除该网站被黑,然后建立了白名单分发挖矿代码,不过站在黑客角度貌似有些麻烦,不过从另一个角度考虑,可能是该公司为了盈利而采取的牟利手段,亦或者是公司的研发调皮了想自己挣些外快(各种阴谋论我不擅长= =)。无论是哪种情况,最后都希望能够让我们用户能安全的上网,如果真的内容值得浏览,我也不会选择去别人挖矿!哈哈

*本文作者:fiysky,转载请注明来自 FreeBuf.COM

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论