“cryptojacking”技术越来越先进，已经想出如何绕过广告拦截软件，并通过基于浏览器的广告进行Coinhive JavaScript挖矿。奇虎360的研究人员表示，它最近发现了一个广告网络，该网络使用所谓的域生成算法工具来规避广告拦截工具，并提供链接到包含Coinhive的登录页广告。

什么是“cryptojacking”技术

目前，有专家将劫持用户的浏览器用于挖掘加密货币的技术称为“cryptojacking”。在2017年，虽然出现了WannaCry和NotPetya以及CCleaner和Equifax的安全事件，但毫无疑问，较为隐蔽的加密货币矿工工具已成为最活跃、最普遍的威胁。

Coinhive是一个提供恶意JS脚本的网站平台，允许攻击者将脚本挂在到自己的或入侵的网站上，所有访问该网站的用户都可能成为门罗币的挖掘矿工。

Coinhive工具其实是一个Java库，用户访问加载该JS的网站后，Coinhive的JS代码库在用户的浏览器上运行，开始为网站所有者挖掘门罗币，消耗的是用户自己的CPU资源。

DGA的使用让安全检测越来越难

虽然目前研究人员没有对该广告网络加以确认和分析，但他们表示，自2017年以来，该网站已经使用了域名生成算法(domain generation algorithm，DGA)来逃避广告拦截器的检测。

DGA是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段。例如，一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试其它建立连接，那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接，但对于不断更新的DGA算法并不奏效。

Netlab 360的研究员张在峰表示：

从2017年12月开始，Coinhive JavaScript挖矿的技术再次升级，我们发现，再没有最终用户确认的情况下，这些DGA.popad域名也参与加密。

域名生成算法利用随机生成的新域，来逃避广告拦截器的检测。

张在峰接着表示：

广告网络公司和广告拦截插件之间的对抗并不是什么新鲜事，但广告网络参与使用DGA域名的网页挖掘技术就值得我们关注了。

Coinhive的JavaScript挖矿软件经常会被黑客使用，他们会将代码秘密嵌入到网站的恶意广告中，然后利用网站访问者的手机，平板电脑和计算机的CPU处理能力来挖掘门罗币。

当受害者访问具有恶意广告的网站且点击它们时，用户就将被重定向到包含Coinhive JavaScript的popad.net域名。如果用户正在使用广告拦截器，则会阻止用于投放广告的域popad.net。下图就是cryptojacker建立JavaScript代码的位置，它可以检测到广告拦截器并将popad.net域切换成含有Coinhive挖矿的加载广告，该广告会链接到DGA.popad的一个域。

张在峰表示：

当我们试图访问该网站时， CPU的利用率立马提高了一倍。

虽然这种挖矿技术所带来的利润目前还不清楚，但Netlab 360表示可能会有很多用户受到影响，而某些含有DGA.popad域名的网页已经在Alexa中排进前2000位了，这表明网络流量的使用率非常高。

研究人员对新升级的“cryptojacking”攻击取样后发现，攻击者的攻击情形分多种。比如，由于启用了广告模块，域serve.popad.net就被阻止。这样，这个JavaScript代码将切换到DGA.popad中的一个域名。

研究人员表示，运行DGA广告的网站大多是色情网站和低俗网站。应该说Cryptojacking在过去一年中取得了质的迭代，在过去的一周里，研究人员发现美国第三大报纸——洛杉矶时报的网页上托管了加密挖掘软件，旨在利用访客的 CPU 挖掘门罗币。根据 Troy Mursch 的说法，攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站，并将 Coinhive 软件脚本注入到程序中 。攻击者以一个有关凶杀报告的页面来作为诱饵，该新闻报道了过去12个月中在洛杉矶遇害的人，这与色情网站作为诱饵如出一辙。

AdBlock 

AdBlock是一款chrome中非常著名的广告屏蔽插件，对于普通网站上的广告单元、漂浮广告、视频播放广告、图片广告等，AdBlock都能很好地进行处理，使得用户的Chrome浏览环境瞬间变成小清新。

不过面对Cryptojacking强大的攻击力， AdBlock还是对应的添加了一项新功能，可以在用户的计算机上本地缓存流行的JavaScript库。

该功能目前只能通过AdBlock Chrome扩展程序使用，但AdBlock发言人表示该功能也将添加到Firefox的扩展程序中。用户要做的就是将其浏览器更新到最新版本，然后进入到扩展程序的设置面板，并启用“为受欢迎的网站库启用本地内容缓存”。

新功能如何工作

默认情况下，AdBlock Chrome扩展程序会拦截网页流量并阻止来自已知广告相关域的资源加载。这个新功能将使用AdBlock的预先存在的功能来查找网站源代码中流行的JavaScript库，然后跳过加载远程库，直接从本地文件夹加载。

AdBlock发言人表示：

“现在，我们开始使用jQuery，因为它已非常广泛的被使用了，在以后的版本中，我们会增加更多的流行库的缓存。”

AdBlock使用jQuery的原因有两个：

首先，通过从本地文件夹提供文件，这意味着网站的加载速度会更快。

其次，与用户隐私相关，特别是从CDN（Content Delivery Networks）加载的JavaScript文件。

新功能还会阻止基于CDN的跟踪

AdBlock发言人表示：

“目前使用最广泛的CDN是由几个大型科技公司垄断者，如谷歌和微软。这些公司会通过绑定用户的个人信息来跟踪对用户的CDN请求。”

通过将常用JavaScript库的副本保存在本地文件夹中，AdBlock可以防止这种额外的跟踪行为。从上面的屏幕截图可以看出，本地缓存功能仍处于测试阶段，并且用户启用该功能时可能会出现错误。