网络犯罪分子并不愚蠢。上有政策下有对策。网络犯罪分子也是如此。他们总是能找到绕过代码遭拦截的方法。
这种情况也同样适用于反病毒圈子,而且它正是浏览器挖矿(加密劫持)场景中出现的情况。
自去年年底加密劫持成为最热的恶意软件趋势后,如今多种解决方案能检测并拦截密币劫持脚本。反病毒软件、广告拦截器和专门的浏览器扩展现在能够阻止浏览器从和加密劫持服务存在关联的域名中加载 JavaScript 代码。
这导致部署这些脚本的人们收益大减,多数脚本被非法添加到被黑网站中。
代理服务器帮助犯罪分子躲避检测
去年11月出现的首个躲避技术如今已经在密币劫持组织中变得越来越流行。
最流行且传播范围最广的技术是部署“加密劫持代理服务器”如可从 GitHub上找到的 CoinHive Stratum 挖掘代理。
这些代理服务器具有两种优势。一是能让犯罪分子将加密劫持脚本托管在他们自己的域名中并避免从挖矿服务(如 Coinhive、CryptoLoot、DeepMiner 等)的域名中加载它,这些都可由安全解决方案检测到。
第二个优势是,代理能让犯罪分子使用自定义挖矿池,从而能让他们将挖矿进程从加密劫持服务本身脱离出来,并且在不必向 Coinhive 或其它服务支付任何费用的前提下保留所有挖掘出的门罗币。
这类代理目前变得很普通,Sucuri 公司和 Malwarebytes 公司在近几个月发现的情况也是如此。
长期来看,随着这些代理系统变得越来越流行,这意味着很多解决方案如广告拦截器和专门的浏览器扩展(依靠域名黑名单)将会在拦截浏览器挖矿方面变得过时且无效。届时,用户只能通过 CPU 的高消耗信息来判断浏览器中是否存在加密劫持脚本。