[논문 리뷰] End-to-End Analysis of In-Browser Cryptojacking
이 논문은 브라우저 내에서의 암호화폐 채굴 기반 악성 코드를 종합적으로 분석하며, 정적 및 동적 분석을 융합하여 악성 스크립트를 96.4%의 정확도로 탐지하고 광고 대체 수단으로서의 경제적 타당성을 평가한다. 이는 모네로 채굴을 위한 Coinhive의 광범위한 사용, 높은 자원 소비를 입증하며, 온라인 광고 대비 암호화폐 채굴이 경제적으로 비타당하지 않음을 결론 내린다.
In-browser cryptojacking involves hijacking the CPU power of a website's visitor to perform CPU-intensive cryptocurrency mining, and has been on the rise, with 8500% growth during 2017. While some websites advocate cryptojacking as a replacement for online advertisement, web attackers exploit it to generate revenue by embedding malicious cryptojacking code in highly ranked websites. Motivated by the rise of cryptojacking and the lack of any prior systematic work, we set out to analyze malicious cryptojacking statically and dynamically, and examine the economical basis of cryptojacking as an alternative to advertisement. For our static analysis, we perform content-, currency-, and code-based analyses. Through the content-based analysis, we unveil that cryptojacking is a wide-spread threat targeting a variety of website types. Through a currency-based analysis we highlight affinities between mining platforms and currencies: the majority of cryptojacking websites use Coinhive to mine Monero. Through code-based analysis, we highlight unique code complexity features of cryptojacking scripts, and use them to detect cryptojacking code among benign and other malicious JavaScript code, with an accuracy of 96.4%. Through dynamic analysis, we highlight the impact of cryptojacking on system resources, such as CPU and battery consumption (in battery-powered devices); we use the latter to build an analytical model that examines the feasibility of cryptojacking as an alternative to online advertisement, and show a huge negative profit/loss gap, suggesting that the model is impractical. By surveying existing countermeasures and their limitations, we conclude with long-term countermeasures using insights from our analysis.
연구 동기 및 목표
- 웹사이트 전반에서 브라우저 내 암호화폐 채굴의 보편성과 기술적 특성을 체계적으로 분석하기 위해.
- 온라인 광고 수익 모델 대체 수단으로서의 암호화폐 채굴의 타당성을 평가하기 위해.
- 코드 기반 분석을 통해 정상 및 악성 자바스크립트 중에서 암호화폐 채굴 스크립트를 탐지하기 위해.
- 브라우저 내 암호화폐 채굴이 CPU 및 배터리 소모와 같은 시스템 자원에 미치는 실시간 영향을 측정하기 위해.
- 기존 대응 조치의 한계를 규명하고, 실증적 발견에 기반한 장기적 해결 방안을 제안하기 위해.
제안 방법
- 알렉사 톱 1M 리스트에서 유해로 의심되는 5,703개 웹사이트의 데이터셋을 대상으로 콘텐츠 기반, 통화 기반, 코드 기반 접근 방식을 활용한 정적 분석을 수행하였다.
- 암호화폐 채굴 스크립트를 정상 및 악성 자바스크립트와 구분하기 위해 코드 복잡도 특징을 개발하였으며, 이로 인해 96.4%의 탐지 정확도를 달성하였다.
- 암호화폐 채굴 실행 중 실시간 CPU, 네트워크, 배터리 소모를 측정하기 위해 동적 분석을 수행하였다.
- 자원 사용량과 수익 추정치를 기반으로 한 암호화폐 채굴 수익성 분석 모델을 수립하였다.
- 기존의 블랙리스트 기반 대응 조치를 실증적 평가를 통해 평가하였으며, 그 한계를 규명하였다.
- 정적 및 동적 분석에서 도출된 통찰에 기반해 클러스터링 기반 탐지 및 행동 모델링을 포함한 장기적 대응 조치를 제안하였다.
실험 결과
연구 질문
- RQ1다양한 웹사이트 유형 및 카테고리 간 브라우저 내 암호화폐 채굴의 보편성과 분포는 어떠한가?
- RQ2암호화폐 채굴 공격에서 가장 흔히 사용되는 채굴 플랫폼과 암호화폐는 무엇인가?
- RQ3유일한 코드 복잡도 특징을 사용하여 정상 및 악성 자바스크립트 중에서 암호화폐 채굴 스크립트를 정확하게 탐지할 수 있는가?
- RQ4브라우저 내 암호화폐 채굴이 CPU 및 배터리 수명과 같은 시스템 자원에 실제로 미치는 영향은 어떠한가?
- RQ5암호화폐 채굴은 온라인 광고 수익의 대체 수단으로서 경제적으로 타당한가?
주요 결과
- 암호화폐 채굴은 널리 퍼져 있으며, 5,703개의 의심되는 웹사이트가 확인되었으며, 주로 모네로 채굴을 위해 Coinhive를 사용하고 있다.
- 코드 기반 분석을 통해 정상 및 다른 자바스크립트와 구분되는 암호화폐 채굴 스크립트의 탐지 정확도가 약 96.4%에 도달하였다.
- 브라우저 내 암호화폐 채굴은 특히 모바일 및 배터리 구동 장치에서 높은 CPU 및 배터리 소모를 유발한다.
- 동적 분석을 통해 암호화폐 채굴 스크립트가 브라우징 세션 동안 지속적으로 작동하며, 지속적인 브라우저 연결을 활용하고 있음을 확인하였다.
- 암호화폐 채굴의 경제 모델은 수익/손실 격차가 심각하여, 온라인 광고 수익의 대체 수단으로서의 경제적 비타당성이 떨어진다.
- 기존의 블랙리스트 기반 대응 조치는 암호화폐 채굴 스크립트의 빠른 진화와 오브스큐레이션에 대비해 부적절하여 효과가 떨어진다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.