[論文レビュー] Web-based Cryptojacking in the Wild
本稿では、Alexa Top 100万サイトにおけるWebベースの暗号通貨マイニング(cryptojacking)を大規模に実証的に調査するための3段階アプローチを提案する。1/500のサイトがマイニングスクリプトをホスティングしており、主にCoinHiveフレームワークからのオブスクリューテッドJavaScriptおよびWebAssemblyが使用されている。推定される日次収益は数セントから340米ドルまで varying するが、カスタマイズされたバージョンに対しては現在のブラックリストベースの防御が無効であることが明らかになった。
With the introduction of memory-bound cryptocurrencies, such as Monero, the implementation of mining code in browser-based JavaScript has become a worthwhile alternative to dedicated mining rigs. Based on this technology, a new form of parasitic computing, widely called cryptojacking or drive-by mining, has gained momentum in the web. A cryptojacking site abuses the computing resources of its visitors to covertly mine for cryptocurrencies. In this paper, we systematically explore this phenomenon. For this, we propose a 3-phase analysis approach, which enables us to identify mining scripts and conduct a large-scale study on the prevalence of cryptojacking in the Alexa 1 million websites. We find that cryptojacking is common, with currently 1 out of 500 sites hosting a mining script. Moreover, we perform several secondary analyses to gain insight into the cryptojacking landscape, including a measurement of code characteristics, an estimate of expected mining revenue, and an evaluation of current blacklist-based countermeasures.
研究の動機と目的
- 実世界のウェブサイトにおけるWebベースのcryptojackingの広がりと特徴を体系的に調査すること。
- ブラックリストやブラウザ拡張機能などの既存の検出メカニズムが、進化を続けるcryptojacking技術に対してどれほど効果的であるかを評価すること。
- 訪問者数とシステムパフォーマンスを基に、マイニング活動を特定のウォレットとAPIキーに追跡することで、cryptojackingの財務的影響を推定すること。
- 感染サイトにおけるマイニングコードの多様性、オブスクリューション、およびマルチ通貨マイニングのパターンを同定すること。
- 静的検出の限界を強調し、ブラウザレベル保護におけるランタイム分析の重要性を提唱すること。
提案手法
- CPU使用率、関数の繰り返し、および怪しいスクリプトパターンを指標として、マイニング活動の兆候を検出するためのブラウザを装備した。
- V8のプロファイラを用いて、時間経過に伴う関数ごとのCPU使用量を測定し、実行時におけるマイニング動作を確認した。
- マイニング活動を個々のウォレットとAPIキーに追跡することで、各サイトごとの収益発生を推定した。
- コードの類似性に基づいてマイニングスクリプトをファミリーに分類し、特にCoinHiveのWebAssemblyコンponentsの広範な再利用を特定した。
- サブページを訪問せずに、Alexa Top 100万サイト全体を対象として大規模な分析を実施し、主なホスティングサイトを分離した。
- 既存の防御策の有効性を評価するため、既知のおよびオブスクリューテッドなマイニングバージョンを検出できるかをテストした。
実験結果
リサーチクエスチョン
- RQ1Alexa Top 100万サイトにおけるWebベースのcryptojackingの広がりはどの程度か?
- RQ2異なるcryptojackingファミリー間で、マイニングスクリプトのコード的特徴とオブスクリューション技術はどのように異なるか?
- RQ3訪問者数とシステムパフォーマンスを基に、個々のcryptojacking運用による推定収益はどの程度か?
- RQ4進化を続けるオブスクリューテッドなマイニングコードに対して、現在のブラックリストベースの検出メカニズムはどの程度効果的か?
- RQ5複数のマイニングスクリプトが同じウェブサイトに同時に存在する割合はどの程度で、これは感染経路にどのような意味を持つのか?
主な発見
- Alexa Top 100万サイトのうち約1/500のサイトが、訪問直後にすぐにマイニングを開始するWebベースのcryptojackingスクリプトをホスティングしている。
- 大多数のマイニングスクリプトはCoinHiveプロジェクトから派生したWebAssemblyコードを使用しており、共通フレームワークの広範な再利用が示された。
- マイニングスクリプトは高度にオブスクリューテッドされており、Monero、Bytecoin、Electroneumなど複数の暗号通貨を標的としているが、すべて同じ基盤となるCryptoNoteプロトコルに依存している。
- 個々のマイナーによる推定日次収益は、訪問者数とシステムパフォーマンスに応じて数セントから340米ドルまで varying する。
- ブラックリストベースの防御は、カスタマイズ済みまたはオブスクリューテッドなマイニングコードの変種に対して無効である。これは静的シグネチャに依存しているためである。
- 複数のマイニングスクリプトが同時に同じウェブサイトにホスティングされているケースが複数確認され、これは偶然の感染または共通の悪意あるインfrastrucureの可能性を示唆している。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。