数千知名国内网站被挂挖矿本来竟是广告联盟监守自盗

2018-07-26 13:50 [网络广告联盟] 来源于：未知

日前，360云平安系统监测到，国内的某公司DSP广告平台被嵌入了挖矿剧本，该剧本随广告平台投放的广告一路插入到了网页中，进而传布。当该嵌入了挖矿剧本的广告代码被加载起来，无论用户是否点击查看广告，均会主动触发挖矿代码的执行。该挖矿页面单日拜候量逾百万次，多家知名站点受到影响，中招机械CPU资本会被年夜量占用，直接影响系统正常运行。

现在，Web挖矿进犯已不知足于单个网站挖矿，而是将方针瞄准流量更年夜、渠道更广的年夜型平台系统，如CRM系统、广告平台系统等;我们阐发发现该广告平台，经由过程deepMiner自建了矿池，而不只是利用常见的coinhive，如许可以省去矿池的佣金，可是必需要包管有足够的算力才会有收益，由此也可见平台的笼盖规模比一般的挖矿进犯要年夜良多。下面就以该广告平台中植入挖矿剧本过程进行简要阐发：

广告位插入挖矿JS过程简图：

数千知名国内网站被挂挖矿原来竟是广告联盟监守自盗

该恶意挖矿JS代码存放在一个广告分发平台上，从广告位代码中看到其经由过程iframe嵌入了一个页面：http://kw.cn*****g.com/kww.html#0.5如下图所示：

数千知名国内网站被挂挖矿原来竟是广告联盟监守自盗

该页面又嵌入了deepMiner.min.js该JS及其挖矿所用到的关头js剧本均利用了AES+Base64加密，加密所利用的密钥为：’NBR2513UXFME9B4MWUTTIUKCELEIBRC4’ 对其进行解密后可看到是利用了中心件deepMiner机关自建的门罗币Web挖矿矿池;挖矿所用到的矿池地址：wss://kw.c******g.com/api

部门解密后片段如下：

数千知名国内网站被挂挖矿原来竟是广告联盟监守自盗

就在对其进行测试阐发的时辰发现其最新的广告位中已经改换了iframe的链接地址，此中直接嵌入了coinhive挖矿剧本：

挖矿的Site_Key为：76kBm8jdLIfdkW6rWAbAs58122fovBys

CPU占用阈值throttle为：50%

数千知名国内网站被挂挖矿原来竟是广告联盟监守自盗

今朝已发现受影的有几千个站点

部门受影响站点如下：

www.263zw.com	Bbs.gfan.com
www.80dyy.cc	Bbs.duowan.com
www.chinadmd.com	www.52pk.com
Mini.eastday.com	www.4399.com
Shop.9you.com	www.biquge5.com
www.biquge.tv	www.qnvod.net
www.shu008.com	www.xiwuji.com
www.hanfan.cc	www.dyxia.com
www.meijutt.com	www.ddshu.net
www.365if.com	www.cnrexue.com
www.haoqu.net	www.mh160.com
……