在不少网站上,管理员接入了第三方应用,例如聊天、支付等等,但是这样安全吗?
最近在深影论坛上淘片时发现多了一个在线聊天平台,交互做的还不错,因为其他原因需要结束个进程,打开任务管理器一看,chrome的CPU使用率达到了30%左右,平常不到1%的使用率现在这么高,第一反应是被“挖矿”了,关了深影论坛的网页,使用率瞬间下降,印证了自己的想法。出于好奇,原以为是深影被黑然后植入挖矿代码,经过分析远远不止如此。
打开chrome,访问触发挖矿代码的页面,拿wireshark抓包分析,发现挖矿代码:
http://52.80.10.9:2333/embed会调用三个js文件,为典型的JS挖矿代码,其中还设置了阈值,可能是怕用户侧感知到卡顿等现象,需要注意的是这个HTTP头中的Referer:
可以看到地址是www.xianliao.me,闲聊么是一款聊天平台接口,注册公司是上海夜磬网络科技有限公司,提供“一站式网站聊天平台”服务,在很多论坛可以看见其身影。从其官网查询可看到以下论坛都是他的合作对象。
难道是该网站提供的第三方聊天平台服务有挖矿代码?我们继续分析,打开熟悉的人人影视,的确采用了闲聊么的聊天组件,但是却没有触发挖矿代码,这令我很奇怪。查看网页源码:
看到会调用https://www.xianliao.me/embed.js,继续分析该js文件,js中会发起get请求,url拼接规则如下:
但是没找到访问人人影视不触发挖矿代码的原因。随后继续从深影论坛流量中看,想起刚才的referer,查看前一个请求:
相应数据包中找到了嵌入的挖矿地址代码:
该请求的Refere为http://www.shinybbs.info/forum.php?mod=viewthread&tid=89982&page=4,由于host的变化,判断存在跳转,拿出burp来直接观察其跳转过程。
下图为调用本地embed.js,生成的GET请求。
随后响应包中会进行重定向,新的地址为:
接着带着新生成的URL发起GET,返回的包中有挖矿代码地址。
调用流程应该是本地会将一些参数发送到服务器,然后服务器返回一个“串”,带着该“串”的url再去访问服务器,来决定是否会返回挖矿代码地址。由于是服务器返回的“串”决定其是否返回挖矿代码,因此我们测试数据包中的cookie、referer、url中的参数值,发现最后影响是否返回的真正原因是xml_wid(顺便吐槽一下,测试到最后才发现是该参数,因为参数是写死在html源码里的,以为会根据其他因素去判断结果费了半天劲),经测试该机制为白名单,只有人人影视这种白名单用户才不会返回,输入其他的值均会返回挖矿代码地址。
至此,整个流程就搞通了,闲聊么网站依靠可以免费接入的聊天平台进行浏览器挖矿,当然我们不排除该网站被黑,然后建立了白名单分发挖矿代码,不过站在黑客角度貌似有些麻烦,不过从另一个角度考虑,可能是该公司为了盈利而采取的牟利手段,亦或者是公司的研发调皮了想自己挣些外快(各种阴谋论我不擅长= =)。无论是哪种情况,最后都希望能够让我们用户能安全的上网,如果真的内容值得浏览,我也不会选择去别人挖矿!哈哈
*本文作者:fiysky,转载请注明来自 FreeBuf.COM
来源:freebuf.com 2018-01-16 10:00:50 by: fiysky
请登录后发表评论
注册