在360网络安全研究院，我们持续的分析海量的DNS流量。基于此，我们建立了 DNSMon 检测系统，能够对 DNS 流量中的各种异常和关联关系予以分析。

在之前的 文章 中，我们提到了openload.co 等网站利用Web页面挖矿的情况。在那之后，我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析，本文描述我们目前看到情况。

当前我们可以看到：

• 0.2% 的网站在首页嵌入了Web挖矿代码：Alexa Top 10万的网站中，有 241 (0.24%) ； Alexa Top 30万的网站中，有 629 (0.21%)

• 色情相关网站是主体，占据了这些网站的49%。其它还有诈骗（8%）、广告（7%）、挖矿（7%）、影视（6%）等类别

• 10+ 挖矿网站提供挖矿能力支撑，其中最大的是是 coinhive.com，占据了大约 57% 的份额，然后是 coin-hive.com (8%)、load.jsecoin.com (7%)、webmine.pro(4%)、authedmine.com (4%) 及其他

当前网页挖矿已经成为一个市场，市场中的角色包括：

• 终端用户：当前他们的利益是被忽视的

• 挖矿网站：新玩家，提供网页挖矿脚本和能力

• 内容/流量网站：既有网站，有庞大的用户但缺少变现手段。现在他们将既往无利可图的流量导向挖矿网站，利用消费者的算力网页挖矿，完成变现。最近也开始有一些内容网站，他们自行搭建挖矿能力，肥水不留外人田。

600+内容/流量网站

在 Alexa Top30万 的站点中，通过验证他们的首页，我们可以确认当前有至少 628 个网站挂载了挖矿代码。我们把这些域名绘制了标签图如下，读者可以有一个直观印象。由于色情相关的特殊性，我们不会公布这些已知域名。

图1

网站内容分类如下表所示：

图2

10+挖矿网站市场占有率排名

内容/流量网站汇聚了用户流量以后，会通过挖矿网站来变现。按照被内容网站使用数量统计，我们看到 2018-02-06 当天的Top 10 挖矿网站如下所示：

图3

值得一提的是，上表中尽管所有的挖矿网站被使用了728次，但所有的内容网站加起来只有 628 个，这是因为部分内容网站使用了 2 个或者更多的挖矿网站。在这个市场里，这是一种普遍的情况。

挖矿网站家族

所有的挖矿网站之间，是可以汇聚到不同家族的。我们已知的挖矿网站家族包括：

• coinhive: coinhive.com, coin-hive.com，以及系列网站

• jsecoin: load.jsecoin.com

• webmine: webmine.cz

• cryptoloot: crypto-loot.com, cryptoloot.pro, webmine.pro以及系列网站

• coinhave: coin-have.com, ws.cab217f6.space系列网站, api.cab217f6.space系列网站

流量趋势

主要的挖矿网站 DNS 流量趋势如下图：

图4

从图中我们可以看出：

• 市场开启于 2017-09，coin-hive.com 和 coinhive.com 先后于 2017-09-15 和 2017-09-28 开始有大量访问

• 市场在持续变大，在2017-10 和 2018-01 分别有两次大的提升

• 最大的玩家是 coinhive 家族，这与之前的观测一致。作为代表的 coinhive.com 网站流行度已经排入Top 2万

• 越来越多的挖矿网站供应商在进入这个市场

另外，最近我们开始观察到，coinhave 家族开始使用一些域名的冗余技术来将流量分散到类如6860c644.space等20个子站上，主站的流量在缩小。

新玩家和新玩法

近期我们注意到一些新的玩法正在这个市场上出现：

• 广告商：有些网站的挖矿行为是广告商的外链引入的

• 壳链接：有的网站会使用一个“壳链接”来在源码中遮蔽挖矿站点的链接

• 短域名服务商：goobo.com.br 是一个巴西的短域名服务商，该网站主页，包括通过该服务生成的短域名，访问时都会加载coinhive的链接来挖矿

• 供应链污染：www.midijs.net 是一个基于 JS 的MIDI文件播放器，网站 源码 中使用了 coinhive 来挖矿

• 自建矿池： 有人在 github 上开源了一段代码，可以用来自建矿池

用户知情的Web挖矿：authedmine.com 是新近出现的一个挖矿网站，网站宣称只有在用户明确知道并授权的情况下，才开始挖矿

使用 DNSMon 检测网页挖矿情况的原理和优点

以上展示了我们使用 DNSMon 监控网页挖矿的结果，其监控原理如下：

• 当用户浏览器开打内容网站的网页，并随后立即访问了挖矿网站时，这两个域名的紧密关联关系会被 DNSMon 记录下来

• 在这个案例中，通过对 coinhive.com 相关的网站观察，我们能够识别挖矿相关网站

• 由于内容网站不时切换背后的挖矿网站，所有记录下来的域名就能够连接成一张网络，从而反映整个市场内的玩家情况

使用 DNSMon 检测网页挖矿有以下优点和缺点：

优点

• 覆盖广

• 准实时

• 精度高

• 可以利用域名关联网络，通过种子域名扩展发现新的可疑域名

• 对链路劫持后的的支持，也好于传统网页扫描器

缺点

仅能反映域名之间关联，网页挖矿事实还需要使用其他手段确认

总体而言，利用 DNSmon 系统，我们能够：

• 批量发现可疑站点

• 快速确定挖矿网站

• 定位使用了代码变形、壳链接的挖矿网站