[论文解读] End-to-End Analysis of In-Browser Cryptojacking
本文对浏览器内挖矿进行了全面的端到端分析,结合静态分析与动态分析,以96.4%的准确率检测恶意脚本,并评估其作为广告替代方案的经济可行性。研究揭示了Coinhive在门罗币挖矿中的广泛使用,展示了显著的资源消耗,并得出结论:与在线广告相比,挖矿在经济上不可行。
In-browser cryptojacking involves hijacking the CPU power of a website's visitor to perform CPU-intensive cryptocurrency mining, and has been on the rise, with 8500% growth during 2017. While some websites advocate cryptojacking as a replacement for online advertisement, web attackers exploit it to generate revenue by embedding malicious cryptojacking code in highly ranked websites. Motivated by the rise of cryptojacking and the lack of any prior systematic work, we set out to analyze malicious cryptojacking statically and dynamically, and examine the economical basis of cryptojacking as an alternative to advertisement. For our static analysis, we perform content-, currency-, and code-based analyses. Through the content-based analysis, we unveil that cryptojacking is a wide-spread threat targeting a variety of website types. Through a currency-based analysis we highlight affinities between mining platforms and currencies: the majority of cryptojacking websites use Coinhive to mine Monero. Through code-based analysis, we highlight unique code complexity features of cryptojacking scripts, and use them to detect cryptojacking code among benign and other malicious JavaScript code, with an accuracy of 96.4%. Through dynamic analysis, we highlight the impact of cryptojacking on system resources, such as CPU and battery consumption (in battery-powered devices); we use the latter to build an analytical model that examines the feasibility of cryptojacking as an alternative to online advertisement, and show a huge negative profit/loss gap, suggesting that the model is impractical. By surveying existing countermeasures and their limitations, we conclude with long-term countermeasures using insights from our analysis.
研究动机与目标
- 对网站中浏览器内挖矿的普遍性和技术特征进行系统性分析。
- 评估挖矿作为在线广告收入替代模式的可行性。
- 通过基于代码的分析,在良性和恶意JavaScript中检测挖矿脚本。
- 测量挖矿对系统资源(如CPU和电池消耗)的动态影响。
- 识别现有防护措施的局限性,并基于实证发现提出长期解决方案。
提出的方法
- 对来自Alexa Top 1M列表的5,703个可疑网站数据集,采用基于内容、时效性和代码的分析方法进行静态分析。
- 开发代码复杂度特征,以区分挖矿脚本与良性及恶意JavaScript,检测准确率达到96.4%。
- 进行动态分析,测量挖矿执行期间的实时CPU、网络和电池消耗。
- 基于资源使用情况和收入预估,构建挖矿盈利能力的分析模型。
- 通过实证评估,评估基于黑名单的现有防护措施并识别其局限性。
- 基于静态和动态分析的洞察,提出长期防护措施,包括基于聚类的检测和行为建模。
实验结果
研究问题
- RQ1浏览器内挖矿在不同网站类型和类别中的普遍性和分布情况如何?
- RQ2在挖矿攻击中,最常使用的挖矿平台和加密货币是什么?
- RQ3是否可以利用独特的代码复杂度特征,准确检测出良性和恶意JavaScript中的挖矿脚本?
- RQ4浏览器内挖矿对系统资源(如CPU和电池寿命)的实际影响是什么?
- RQ5挖矿作为在线广告收入的替代方案在经济上是否可行?
主要发现
- 挖矿行为广泛存在,共识别出5,703个可疑网站,主要使用Coinhive进行门罗币挖矿。
- 基于代码的分析在区分挖矿脚本与其他JavaScript方面实现了约96.4%的检测准确率。
- 浏览器内挖矿导致显著的CPU和电池消耗,尤其在移动设备和电池供电设备上更为明显。
- 动态分析显示,挖矿脚本在浏览会话期间持续运行,利用持久的浏览器连接。
- 挖矿的经济模型显示存在巨大的盈亏差距,表明其作为广告替代方案在经济上不可行。
- 现有基于黑名单的防护措施因挖矿脚本的快速演变和混淆技术而显得不足。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。