基于Chrome DevTools Protocol的网页挖矿劫持攻击特征分析方法

随着整治虚拟货币“挖矿”活动的开展,一些利用显卡、硬盘等主动挖矿的行为已得到有效遏制,但通过网页挖矿劫持攻击达到挖矿目的的被动挖矿行为,由于其具有容易入侵、隐秘性强的特点,用户难以察觉。为了能自动判断这种被动挖矿行为,以一个被植入挖矿程序的网站为例,提出基于Chrome DevTools Protocol的特征分析方法,分别通过抓取websocket流量和CPU导出性能剖析报告进行分析与判断。经过验证,该方法可有效检测与判断网页挖矿劫持攻击行为,具有一定的参考价值。

网页挖矿木马的取证方法

网页挖矿木马因其具有较高的隐蔽性和传播性,已成为全球最主要的网络安全威胁之一。目前,针对网页挖矿木马的取证流程及技术方法仍不健全。通过梳理在Android、Windows以及Linux等不同操作系统中的取证流程,可以发现基于网络数据层、网页代码层、可信时间戳、其他木马固定的“四维取证”方法不失为一种针对网页挖矿木马的有效取证方法。

基于多特征识别的恶意挖矿网页检测及其取证研究

针对恶意挖矿网页检测技术存在的漏报率高、时效性低、预测不准、过于依赖规则等问题,文章设计了基于多特征识别的恶意挖矿网页检测模型和多层级证据保存的恶意挖矿网页取证方法。该检测模型通过对Coinhive、Jsecoin、Webmine、Crypto-loot四种挖矿网页的实现方式、代码特点分析,归纳总结其特征,构建出挖矿网页的多特征序列,实现对恶意挖矿网页的自动检测。研究表明,该检测模型能够对用户提交的URL进行自动检测,区分出恶意挖矿网页并判断出其类型,整体检测准确率达到97.83%。多层级取证方法能够从平面层、代码层、网络数据层三个维度对恶意挖矿网页数据进行固定,获取完整、合法、可信的证据,生成取证报告,满足公安机关对恶意挖矿网页检测和取证的需求。