Skip to main content
QUICK REVIEW

[论文解读] Web-based Cryptojacking in the Wild

Marius Musch, Christian Wressnegger|arXiv (Cornell University)|Aug 28, 2018
Advanced Malware Detection Techniques参考文献 3被引用 23
一句话总结

本文通过三阶段分析方法,对 Alexa 全球前 100 万个网站进行了大规模实证研究,以检测基于网页的挖矿脚本。研究发现,每 500 个网站中约有 1 个托管挖矿脚本,主要使用来自 CoinHive 框架的混淆 JavaScript 和 WebAssembly 代码,每日估计收入在数美分至 340 美元之间,同时揭示当前基于黑名单的防御机制对定制化变体无效。

ABSTRACT

With the introduction of memory-bound cryptocurrencies, such as Monero, the implementation of mining code in browser-based JavaScript has become a worthwhile alternative to dedicated mining rigs. Based on this technology, a new form of parasitic computing, widely called cryptojacking or drive-by mining, has gained momentum in the web. A cryptojacking site abuses the computing resources of its visitors to covertly mine for cryptocurrencies. In this paper, we systematically explore this phenomenon. For this, we propose a 3-phase analysis approach, which enables us to identify mining scripts and conduct a large-scale study on the prevalence of cryptojacking in the Alexa 1 million websites. We find that cryptojacking is common, with currently 1 out of 500 sites hosting a mining script. Moreover, we perform several secondary analyses to gain insight into the cryptojacking landscape, including a measurement of code characteristics, an estimate of expected mining revenue, and an evaluation of current blacklist-based countermeasures.

研究动机与目标

  • 系统性地调查真实网站中基于网页的挖矿行为的普遍性及其特征。
  • 评估现有检测机制(如黑名单和浏览器扩展)对不断演进的挖矿技术的有效性。
  • 通过追踪挖矿活动至特定钱包和 API 密钥,估算挖矿行为的财务影响。
  • 识别感染网站中挖矿代码多样性、混淆技术及多币种挖矿的模式。
  • 揭示静态检测的局限性,并倡导在浏览器级别采用运行时分析。

提出的方法

  • 部署浏览器插件以监控代码执行,重点关注 CPU 使用率、函数重复执行及可疑脚本模式,作为挖矿活动的指标。
  • 利用 V8 的性能分析器测量各函数随时间的 CPU 使用量,以实时确认挖矿行为。
  • 通过追踪挖矿活动至具体钱包和 API 密钥,估算各网站的收入生成情况。
  • 基于代码相似性将挖矿脚本分类为不同家族,特别识别出 CoinHive 的 WebAssembly 组件被广泛使用。
  • 在不访问子页面的前提下,对 Alexa 全球前 100 万个网站进行大规模分析,以隔离主要托管网站。
  • 通过测试其检测已知及混淆挖矿变体的能力,评估现有防御机制的有效性。

实验结果

研究问题

  • RQ1在 Alexa 全球前 100 万个网站中,基于网页的挖矿行为普遍性如何?
  • RQ2不同挖矿家族的脚本代码特征及混淆技术有何差异?
  • RQ3基于访问流量和系统性能,单个挖矿活动的估计财务收入是多少?
  • RQ4当前基于黑名单的检测机制对不断演进的混淆挖矿代码有多有效?
  • RQ5多个挖矿脚本在同一个网站中共存的程度如何,这暗示了何种感染传播途径?

主要发现

  • 在 Alexa 全球前 100 万个网站中,约有 1/500 个网站托管了网页挖矿脚本,访客访问后即刻开始挖矿。
  • 大多数挖矿脚本使用源自 CoinHive 项目的 WebAssembly 代码,表明广泛复用了同一框架。
  • 挖矿脚本高度混淆,尽管目标加密货币包括门罗币、比特币现金和 Electroneum,但均基于相同的底层 CryptoNote 协议。
  • 单个挖矿程序的每日估计收入在数美分至 340 美元之间,具体取决于访客数量和系统性能。
  • 基于黑名单的防御机制对定制化或混淆的挖矿代码变体无效,因其依赖静态签名。
  • 多个网站同时托管多个挖矿脚本,表明可能存在并发感染或共享恶意基础设施。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。