[论文解读] Web-based Cryptojacking in the Wild
本文通过三阶段分析方法,对 Alexa 全球前 100 万个网站进行了大规模实证研究,以检测基于网页的挖矿脚本。研究发现,每 500 个网站中约有 1 个托管挖矿脚本,主要使用来自 CoinHive 框架的混淆 JavaScript 和 WebAssembly 代码,每日估计收入在数美分至 340 美元之间,同时揭示当前基于黑名单的防御机制对定制化变体无效。
With the introduction of memory-bound cryptocurrencies, such as Monero, the implementation of mining code in browser-based JavaScript has become a worthwhile alternative to dedicated mining rigs. Based on this technology, a new form of parasitic computing, widely called cryptojacking or drive-by mining, has gained momentum in the web. A cryptojacking site abuses the computing resources of its visitors to covertly mine for cryptocurrencies. In this paper, we systematically explore this phenomenon. For this, we propose a 3-phase analysis approach, which enables us to identify mining scripts and conduct a large-scale study on the prevalence of cryptojacking in the Alexa 1 million websites. We find that cryptojacking is common, with currently 1 out of 500 sites hosting a mining script. Moreover, we perform several secondary analyses to gain insight into the cryptojacking landscape, including a measurement of code characteristics, an estimate of expected mining revenue, and an evaluation of current blacklist-based countermeasures.
研究动机与目标
- 系统性地调查真实网站中基于网页的挖矿行为的普遍性及其特征。
- 评估现有检测机制(如黑名单和浏览器扩展)对不断演进的挖矿技术的有效性。
- 通过追踪挖矿活动至特定钱包和 API 密钥,估算挖矿行为的财务影响。
- 识别感染网站中挖矿代码多样性、混淆技术及多币种挖矿的模式。
- 揭示静态检测的局限性,并倡导在浏览器级别采用运行时分析。
提出的方法
- 部署浏览器插件以监控代码执行,重点关注 CPU 使用率、函数重复执行及可疑脚本模式,作为挖矿活动的指标。
- 利用 V8 的性能分析器测量各函数随时间的 CPU 使用量,以实时确认挖矿行为。
- 通过追踪挖矿活动至具体钱包和 API 密钥,估算各网站的收入生成情况。
- 基于代码相似性将挖矿脚本分类为不同家族,特别识别出 CoinHive 的 WebAssembly 组件被广泛使用。
- 在不访问子页面的前提下,对 Alexa 全球前 100 万个网站进行大规模分析,以隔离主要托管网站。
- 通过测试其检测已知及混淆挖矿变体的能力,评估现有防御机制的有效性。
实验结果
研究问题
- RQ1在 Alexa 全球前 100 万个网站中,基于网页的挖矿行为普遍性如何?
- RQ2不同挖矿家族的脚本代码特征及混淆技术有何差异?
- RQ3基于访问流量和系统性能,单个挖矿活动的估计财务收入是多少?
- RQ4当前基于黑名单的检测机制对不断演进的混淆挖矿代码有多有效?
- RQ5多个挖矿脚本在同一个网站中共存的程度如何,这暗示了何种感染传播途径?
主要发现
- 在 Alexa 全球前 100 万个网站中,约有 1/500 个网站托管了网页挖矿脚本,访客访问后即刻开始挖矿。
- 大多数挖矿脚本使用源自 CoinHive 项目的 WebAssembly 代码,表明广泛复用了同一框架。
- 挖矿脚本高度混淆,尽管目标加密货币包括门罗币、比特币现金和 Electroneum,但均基于相同的底层 CryptoNote 协议。
- 单个挖矿程序的每日估计收入在数美分至 340 美元之间,具体取决于访客数量和系统性能。
- 基于黑名单的防御机制对定制化或混淆的挖矿代码变体无效,因其依赖静态签名。
- 多个网站同时托管多个挖矿脚本,表明可能存在并发感染或共享恶意基础设施。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。