导语:如今不管安全管理方法和技术如何完善,网络犯罪分子总能找到绕过的方法进行攻击,利用代理服务器逃避检测就是其中之一。
道高一尺魔高一丈,不管安全管理方法和技术如何完善,网络犯罪分子总能找到绕过的方法,并进行攻击,比如对于如今大火的利用浏览器挖掘加密货币的防御。
随着去年年底各种流行的恶意软件出现之后,网络安全界相应也出现了几种能够检测和阻止加密脚本的解决方案。比如杀毒软件,广告拦截器和专用浏览器扩展现在已经可以阻止浏览器加载与挖矿服务相关的域的JavaScript代码了。
不够这反过来又刺激了攻击者,来采取更高级的办法来躲避安全检测。
利用代理服务器逃避检测
虽然这种逃避技术已在去年11月份出现,不过直到现在才受到攻击者的欢迎。
这些技术中最流行和最普遍的是部署一个“cryptojacking代理服务器”,比如GitHub上提供的CoinHive Stratum Mining Proxy。顺便说一句,“cryptojacking”技术就是将劫持用户的浏览器用于挖掘加密货币的技术。
在逃避检测时,这些代理服务器具有两个优点。首先,代理服务器允许攻击者在自己的域中托管加密脚本,并避免将其通过采用“cryptojacking”服务的域(Coinhive,CryptoLoot,DeepMiner等)进行加载。
“cryptojacking”技术逃避检测
其次,代理服务器还允许攻击者使用自定义的挖矿池,这反过来又允许他们将挖掘过程从加密劫持服务本身中分离出来,并且不需要向Coinhive或任何其他服务支付任何中介费用就可以保留所有开采出来的收益。
总结
目前这种利用代理服务器逃避的做法已经非常流行,从长远来看,随着这些代理工具的盛行,这意味着依赖域黑名单的许多解决方案很快就会过时。此时,用户只能根据CPU使用率的高低才能发现其浏览器中是否存在挖矿脚本。