Skip to main content
QUICK REVIEW

[論文レビュー] End-to-End Analysis of In-Browser Cryptojacking

Muhammad Saad, Aminollah Khormali|arXiv (Cornell University)|Sep 6, 2018
Advanced Malware Detection Techniques参考文献 26被引用数 23
ひとこと要約

本稿では、ブラウザ内でのコインマイニング(cryptojacking)について、静的および動的解析を組み合わせた包括的なエンドツーエンド分析を提示している。96.4%の精度で悪意あるスクリプトを検出するとともに、広告の代替収益モデルとしての経済的妥当性を評価している。本研究では、モナローやコインハイブを用いた広範な使用状況が明らかになり、リソース消費が顕著であることが示された。また、オンライン広告と比較して、cryptojackingは経済的に非現実的であると結論している。

ABSTRACT

In-browser cryptojacking involves hijacking the CPU power of a website's visitor to perform CPU-intensive cryptocurrency mining, and has been on the rise, with 8500% growth during 2017. While some websites advocate cryptojacking as a replacement for online advertisement, web attackers exploit it to generate revenue by embedding malicious cryptojacking code in highly ranked websites. Motivated by the rise of cryptojacking and the lack of any prior systematic work, we set out to analyze malicious cryptojacking statically and dynamically, and examine the economical basis of cryptojacking as an alternative to advertisement. For our static analysis, we perform content-, currency-, and code-based analyses. Through the content-based analysis, we unveil that cryptojacking is a wide-spread threat targeting a variety of website types. Through a currency-based analysis we highlight affinities between mining platforms and currencies: the majority of cryptojacking websites use Coinhive to mine Monero. Through code-based analysis, we highlight unique code complexity features of cryptojacking scripts, and use them to detect cryptojacking code among benign and other malicious JavaScript code, with an accuracy of 96.4%. Through dynamic analysis, we highlight the impact of cryptojacking on system resources, such as CPU and battery consumption (in battery-powered devices); we use the latter to build an analytical model that examines the feasibility of cryptojacking as an alternative to online advertisement, and show a huge negative profit/loss gap, suggesting that the model is impractical. By surveying existing countermeasures and their limitations, we conclude with long-term countermeasures using insights from our analysis.

研究の動機と目的

  • ウェブサイト全体におけるブラウザ内cryptojackingの広がりと技術的特徴を体系的に分析すること。
  • オンライン広告の代替収益モデルとしてのcryptojackingの実現可能性を評価すること。
  • コードベースの分析を用いて、健全なJavaScriptおよび悪意あるJavaScriptの中からcryptojackingスクリプトを検出すること。
  • ブラウザ内cryptojackingがCPUやバッテリー消費といったシステムリソースに与える動的影響を測定すること。
  • 既存の対策の限界を特定し、実証的発見に基づいた長期的解決策を提言すること。

提案手法

  • Alexa Top 1Mリストから抽出した5,703件の疑わしいウェブサイトのデータセットを対象に、コンテンツ・ベース、更新頻度・コードベースのアプローチを用いた静的解析を実施した。
  • cryptojackingスクリプトと健全なJavaScript・悪意あるJavaScriptを区別するためのコード複雑性特徴量を開発し、96.4%の検出精度を達成した。
  • 実行時のCPU、ネットワーク、バッテリー消費を測定するため、動的解析を実施した。
  • リソース使用量と収益見積もりに基づいて、cryptojackingの収益性をモデル化した分析モデルを構築した。
  • 既存のブラックリストベースの対策を実証的評価を通じて評価し、その限界を特定した。
  • 静的および動的解析から得た知見を基に、クラスタリングベースの検出法や行動モデリングを含む、長期的対策を提言した。

実験結果

リサーチクエスチョン

  • RQ1異なるウェブサイトタイプやカテゴリにおけるブラウザ内cryptojackingの広がりと分布はどのようになっているか?
  • RQ2cryptojacking攻撃で最も一般的に使用されているマイニングプラットフォームと暗号資産は何か?
  • RQ3cryptojackingスクリプトを健全なJavaScriptおよび悪意あるJavaScriptから正確に検出するために、独自のコード複雑性特徴量を用いることは可能か?
  • RQ4ブラウザ内cryptojackingがCPUやバッテリー寿命といったシステムリソースに与える実際の影響は何か?
  • RQ5オンライン広告収入の代替として、cryptojackingは経済的に現実的か?

主な発見

  • cryptojackingは広範にわたり、5,703件の疑わしいウェブサイトが特定され、主にモナローやコインハイブを用いたマイニングが行われていた。
  • コードベースの分析により、他のJavaScriptからcryptojackingスクリプトを区別する精度が約96.4%に達した。
  • ブラウザ内cryptojackingは、特にモバイル機器やバッテリー駆動デバイスにおいて、顕著なCPUおよびバッテリー消費を引き起こしている。
  • 動的解析の結果、cryptojackingスクリプトはブラウジングセッション中、継続的に動作しており、恒久的なブラウザ接続を活用していることが明らかになった。
  • cryptojackingの経済モデルでは、収益と損失の大きなギャップが確認され、オンライン広告の代替としての経済的非現実性が示された。
  • 既存のブラックリストベースの対策は、cryptojackingスクリプトの急速な進化とオブスクリューションに対応できていないため、不十分であることが判明した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。