Skip to main content
QUICK REVIEW

[논문 리뷰] Web-based Cryptojacking in the Wild

Marius Musch, Christian Wressnegger|arXiv (Cornell University)|2018. 08. 28.
Advanced Malware Detection Techniques참고 문헌 3인용 수 23
한 줄 요약

이 논문은 Alexa Top 100만 웹사이트에서 악성 채굴 스크립트를 탐지하기 위해 3단계 분석 접근법을 사용한 대규모 실증 연구를 제시한다. 연구 결과, 500개 중 1개의 사이트가 채굴 스크립트를 보유하고 있으며, 주로 CoinHive 프레임워크에서 유래한 오브스컬레이티드 자바스크립트와 웹어셈블리(웹어셈블리)를 사용하고 있으며, 예상 일일 수익은 몇 센트에서 340달러 미국화까지 다양하다. 또한 기존 블랙리스트 기반 방어 조치가 개조된 변종에 대해 효과가 없음을 드러냈다.

ABSTRACT

With the introduction of memory-bound cryptocurrencies, such as Monero, the implementation of mining code in browser-based JavaScript has become a worthwhile alternative to dedicated mining rigs. Based on this technology, a new form of parasitic computing, widely called cryptojacking or drive-by mining, has gained momentum in the web. A cryptojacking site abuses the computing resources of its visitors to covertly mine for cryptocurrencies. In this paper, we systematically explore this phenomenon. For this, we propose a 3-phase analysis approach, which enables us to identify mining scripts and conduct a large-scale study on the prevalence of cryptojacking in the Alexa 1 million websites. We find that cryptojacking is common, with currently 1 out of 500 sites hosting a mining script. Moreover, we perform several secondary analyses to gain insight into the cryptojacking landscape, including a measurement of code characteristics, an estimate of expected mining revenue, and an evaluation of current blacklist-based countermeasures.

연구 동기 및 목표

  • 실세계 웹사이트에서 웹 기반 채굴의 보편성과 특성을 체계적으로 조사하기 위해.
  • 블랙리스트 및 브라우저 확장 프로그램과 같은 기존 탐지 기법이 진화하는 채굴 기법에 대해 얼마나 효과적인지 평가하기 위해.
  • 채굴 활동을 특정 지갑과 API 키로 추적하여 채굴의 재정적 영향을 추정하기 위해.
  • 감염된 사이트에서 채굴 코드의 다양성, 오브스컬레이션, 다중 암호화폐 채굴 패턴을 식별하기 위해.
  • 정적 탐지의 한계를 강조하고 브라우저 수준 보호를 위한 런타임 분석의 필요성을 주장하기 위해.

제안 방법

  • CPU 사용률, 함수 반복, 이상 징후 스크립트 패tern을 지표로 삼아 채굴 활동의 징후를 감지하기 위해 브라우저를 인스트루멘티드(장비화)하여 코드 실행을 모니터링했다.
  • V8의 프로파일러를 사용해 시간에 따른 함수별 CPU 사용량을 측정하여 실시간 실행에서 채굴 행동을 확인했다.
  • 채굴 활동을 개별 지갑과 API 키로 추적하여 각 사이트의 수익 생성량을 추정했다.
  • 코드 유사성 기반으로 채굴 스크립트를 가족으로 분류하였으며, 특히 CoinHive의 웹어셈블리 구성 요소가 널리 사용되고 있음을 확인했다.
  • 서브페이지 방문 없이 Alexa Top 100만 웹사이트 전반에 걸쳐 대규모 분석을 수행하여 주로 스크립트를 호스팅하는 사이트를 고립시켰다.
  • 기존 방어 조치의 효능을 평가하기 위해 알려진 및 오브스컬레이티드 채굴 변종을 탐지할 수 있는 능력을 테스트했다.

실험 결과

연구 질문

  • RQ1Alexa Top 100만 웹사이트 전반에서 웹 기반 채굴의 보편성은 어떠한가?
  • RQ2다양한 채굴 스크립트 가족 간에 코드 특성과 오브스컬레이션 기법은 어떻게 다를까?
  • RQ3방문자 트래픽과 시스템 성능를 기반으로 개별 채굴 운영에서 예상되는 재정적 수익은 얼마인가?
  • RQ4진화하는 오브스컬레이티드 채굴 코드에 대해 기존 블랙리스트 기반 탐지 기법은 얼마나 효과적인가?
  • RQ5동일한 웹사이트에 여러 채굴 스크립트가 동시에 존재하는 경우가 있으며, 이는 감염 경로에 대해 어떤 의미를 갖는가?

주요 결과

  • Alexa Top 100만 웹사이트 중 약 1/500의 사이트가 방문 즉시 채굴을 시작하는 웹 기반 채굴 스크립트를 보유하고 있다.
  • 대부분의 채굴 스크립트는 CoinHive 프로젝트에서 유래한 웹어셈블리 코드를 사용하고 있어 공통 프레임워크의 광범위한 재사용을 보여준다.
  • 채굴 스크립트는 매우 오브스컬레이티드되어 있으며, 모나로, 바이트코인, 일렉트론늄과 같은 여러 암호화폐를 타겟으로 하지만 모두 동일한 기초 프로토콜인 CryptoNote에 기반한다.
  • 개별 채굴기에서 예상되는 일일 수익은 방문자 수와 시스템 성능에 따라 몇 센트에서 340달러 미국화까지 다양하다.
  • 블랙리스트 기반 방어 조치는 정적 서명에 의존하기 때문에, 개조된 또는 오브스컬레이티드 변종 채굴 코드에 대해 효과가 없다.
  • 일부 웹사이트는 동시에 여러 채굴 스크립트를 보유하고 있으며, 이는 동시 감염 또는 공유 악성 인프라의 가능성을 시사한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.