Introduction

Crpytojacking 동향

• 암호화폐 시장이 커지면서 암호화폐와 관련된 보안 위협이 증가하고 있습니다.
• 특히 Coinhive 또는 Monero에 의해서 즉시 사용가능한 (ready-to-use) 채굴 script를 통해서 cryptojacking malware는 공격자들을 위한 없어서 안될 도구가 되었다.
• 실제로 bank, military servers, online-video sharing platforms, gaming platform등은 cryptojacking malware의 가장 큰 피해자중 하나이다.
• 현재까지 이들을 방어하기 위해서, 1. blacklist방법으로부터 사용자를 방어하는 browser exetensiun 과 다른 분석 방식의 백신 프로그램은 단지 부분적인 “만병통치약”일뿐 공격자들은 난독화기술을 사용하여 쉽게 우회하거나 또는 그들의 도메인의 script를 바꿔서 공격을 진행한다.
• 그래서 추가적인 systematic인 cryptojacking연구가 필요하다.
• 투자자는 또한 직접 채굴 풀을 구축하여 새로운 코인을 생성하여 이익을 얻을 수 있다.
• 채굴 작업의 수익성은 공격자들이 빠르게 출현하는 생태계로 끌어들였다.

Cryptojacking의 정의

• Cryptojacking은 암호화폐 채굴 동의 없이 피해자의 연산 능력을 이용하는 행위이다.
• 비권한된 mining 연산은 추가적인 전력 소비를 지불하게 하고, victim host 컴퓨터의 연산 효율을 매우 감소시킨다.
• 결과적으로 공격자는 비권한된 컴퓨터 파워를 cryptocurrency(암호화폐)로 변환시킨다.
• 이런 목적으로 사용된 mlaware를 cryptojacking이라 부른다.
• 특히 즉시 사용가능한 browser mining script 구현의 제공하는 Coinhive, CryptoLoot같은 service provider의 출현 이후에, 공격자들은 쉽게 인기있는 website를 통해 많은 수의 사용자들에게 접근할 수 있었다.

Crpytojacking의 첫번째 예시: In-browser cryptojacking

• Cryptojacking은 Youtue내에 Google의 advertisement packages와 병합된다.
• victim의 host에 의해서 compile된 감연된 광고 package는 victime이 관련된 페이지에 있는한 비권한된 채굴을 수행한다.
• Youtuge와 비슷한 media content 제공업체들은 공격자들에게 이상적이다. (상대적 신뢰도, 인기도, 그리고 이용자들의 평균 이용시간 때문에)
• 또 다른 사건에서 cryptojacking malware는 UK 정부에 의해서 제공된 plugin에서 발견되었다.
• 이때, 이 플러그인은 수천의 governmental page와 비 govermental-page에서 사용되었다.

Cryptojacking의 두번째 예시: Critical servers.

• cryptojacking의 web-page에 내장되어있는 것 뿐만아니라, 또한 well-protected govermental and milittary servers에서 발견된다.
• 미 방어 정부는 bug-bounty challenge 동안, 그들의 서버에서 cryptojacking malware를 발견했다.
• Cryptojacking malware는 Coinhive 제공업체에서 유명한 서비스에 의해서 개발된, 그리고 이것의 존재동안 35.4 Monero coin에서 채굴된 DOD server들에서 발견되었다.
• 비슷하게, 다른 정부 캐이스는 러시아 핵 개발 연구 센터로부터 발견되었다.
• 몇몇 이 연구실에서 일하고 있는 과학자들은 이 시설 server에서 암호화폐 채굴기를 업로드해서 잡혔다.
• 더 나아가서 공격자는 서비스 제공자가 제공하는 스크립트를 사용할 뿐만 아니라 악의적이지 않고 합법적인 오픈소스 크립토마이너를 수정했다.
• 예를들어 cyber security 회사는 이탈리아 은행의 기업 네트워크에서 잘 알려진 유럽 기반 봇넷으로의 불규칙한 데이터 전송을 탐지했다. 추가 조사를 통해 해당의 것이 Bitcoin miner임을 확인했다.

Cryptojacking의 세번째 예시: 진보된 기술을 이용하는 것

• Attacker가 cryptojacking을 퍼트리는데 사용하는 advanced techniques들이 있다.
  • botnet, Vollgar <- attacked all MySQL Servers in the world
  • Zoom video <- merged the main Zoom application and cryptojacking malware and published it via different file-sharing platforms
  • Steam & Nintendo Switch <- to embed and distribute crpytojacking malware
  • (in a recent study) firmware(Mikrotik) <- discoverd a firmware exploit in Mikrotik routers that were used to embed crpytomining code into every outgoing web connection, where 1.4 million MikroTik routers were exploited

Crpytojacking Detection의 문제점

• 크립토재킹 맬웨어의 만연한 특성을 감안할 때 무단 채굴 작업이 사용자의 동의나 허가 없이 컴퓨팅 플랫폼의 컴퓨팅 리소스를 남용하는 것을 감지하고 방지하는 것이 중요합니다.
• 그러나 중요하지만 크립토재킹을 탐지하는 것은 여러 면에서 기존 멀웨어와 다르기 때문에 어렵습니다.
  • 1. 첫번째 그들은 목표는 victim의 computing power를 남용하는 것이다. ( 전통적인 malware의 경우에서 피해를 입히거나 조작하는 것 대신에), 전통적인 malware detection과 방어 시스템은 malware의 침해 행위를 탐지하는 것에 최적화 되어있지만 cryptojacking은 단지 컴퓨팅 ㅈ자원을 사용하고 그리고 attacker에게 계산된 hash값을 전달한다. 그래서 malware detection sytstem은 단순히 높은 퍼포먼스를필요하는 무건운 어플리케이션으로써 생각한다.
  • 1. 둘째, 합법적인 웹 사이트에 사용하거나 포함할 수도 있습니다. 이는 해당 웹 사이트가 종종 신뢰할 수 있고 사용자가 컴퓨터에서 동의 없이 채굴하는 것을 기대하지 않기 때문에 눈에 띄기 어렵게 만듭니다.
  • 1. 셋째, 전통적인 맬웨어 공격에서 공격자는 궁극적으로 민감한 정보를 빼내거나(예: APT(Advanced Persistent Threat)) 시스템을 사용할 수 없도록 하거나(즉, DDoS(분산 서비스 거부)) 제어할 수 있습니다. 크립토재킹 맬웨어 공격에서 피해자의 컴퓨터(예: Botnet)에서 공격자의 목표는 가능한 한 오랫동안 시스템에서 은밀하게 유지하는 것입니다. 공격 수익은 크립토재킹 멀웨어가 탐지되지 않는 시간에 정비례하기 때문입니다. 따라서 공격자는 필터링 및 난독화 기술을 사용하여 멀웨어를 탐지 시스템에서 더 어렵게 만들고 사용자가 알아차리기 어렵게 만듭니다.

해당 논문의 Contribution

• 기존의 연구는 Cryptojacking malware에 대한 탐지 또는 방지 메커니즘을 제안하거나, 크립토재킹 위협 환경을 분석하고있다.
• 그리고 문헌에는 서로 다른 크립토재킹 맬웨어 유형, 크립토재킹 맬웨어가 사용하는 기술 및 문헌의 크립토재킹 연구에 대한 검토를 모두 다루는 체계적인 연구가 부족합니다.
• 이 논문은 이런 문헌의 차이를 줄이기위해서 cryptojacking malware의 systematic overview를 제시한다. (42개의 cryptojacking 연구 논문ㄷ르의 조합으로부터 얻을 수 있는 정보에 기반하여서) (두개의 독립적인 dataset과 함께 26K개의 cryptojacking samples 들과) (그리고 45개의 major attacks instance와 함께)
• 주어진 널리퍼진 cryptojacking의 사용에 의해서, 실무적인 방어 솔루션을 방어를 가속화하기 위해서 security community crpytojacking malware의 systematize한 지식을 얻는 것은 이것은 중요하다

해당 논문에 포함되어있는 추가적인 견해

• 최근 보안 보고서에서는 클라우드 서버, Docker 엔진, 대규모 Kubernetes 클러스터의 IoT 장치와 같은 보다 강력한 플랫폼을 대상으로 하는 크립토재킹 공격의 수가 증가하는 것을 발견했습니다. 크립토재킹 악성코드를 퍼뜨리기 위해 하이재킹 및 초기 액세스 를 얻기 위해 공격자는 다음을 활용합니다.
  • hardware vulnerabilites
  • recent CVEs
  • poorly configured IoT devices
  • Docker engines and Kubernetes clusters with poor security
  • popular DDoS botnets for the sied-profit.
  • 이 새로운 크립토재킹 악성코드 경향은 연구원들이 자세히 조사하지 않았습니다.
• 우리는 문헌에서 크립토재킹 탐지 메커니즘을 제안하는 연구에서 몇 가지 문제를 확인했습니다.
  • 첫째, 우리는 크립토마이닝 스크립트가 포함된 웹사이트가 자주 업데이트되기 때문에 제안된 탐지 연구에서 데이터 세트 날짜를 보고하는 것이 중요하다는 것을 발견했습니다. 이는 문헌 연구에서 흔하지 않습니다.
  • 둘째, 제안된 탐지가 대부분의 연구에서 누락된 온라인 또는 오프라인인지 보고하는 것이 중요합니다.
  • 셋째, 문헌의 연구에서는 제안된 솔루션의 사용자 측 오버헤드를 측정하지 않았으며, 이는 특히 브라우저 기반 솔루션에서 매우 중요합니다.
• 크립토마이닝이 게시자나 비영리 조직과 같은 합법적인 웹사이트 소유자를 위한 대체 자금 조달 메커니즘이 될 수 있지만 브라우저 내 크립토마이닝의 사용은 키워드 기반 자동 감지 시스템으로 인해 감소했습니다.
• 다른 조사:
  • 이러한 설문조사는 블록체인의 합의 프로토콜 및 채굴 전략, Bitcoin 및 블록체인 기술의 도전, 보안 및 개인 정보 보호 문제, IoT와 같은 다양한 산업에서의 블록체인 구현에만 초점을 맞춥니다.
  • A Survey of Attack Instances of Cryptojacking Targeting Cloud Infrastructure 과 비슷하지만 해당 SOK 논문은 (두 큰 dataset의 관찰과 분석으로 만들어진)cryptojacking malware에 더욱 집중되어있다.

Background

BlockChain

블록체인은 네트워크의 당사자가 수행하는 P2P(피어 투 피어) 거래를 변경할 수 없는 방식으로 저장하는 분산형 디지털 원장 기술입니다. 블록체인 구조는 블록 체인으로 구성됩니다. 예를 들어 비트코인[39]에서 각 블록은 블록 헤더와 트랜잭션의 두 부분으로 구성됩니다. 블록 헤더는 1) 이전 블록의 해시, 2) 버전, 3) 타임스탬프, 4) 난이도 목표, 5) 논스, 6) 머클 트리의 루트 정보로 구성됩니다. 이전 블록의 해시를 포함함으로써 모든 블록은 수학적으로 이전 블록에 바인딩됩니다. 이 바인딩을 사용하면 체인의 모든 블록에서 데이터를 변경할 수 없습니다. 반면, 각 블록의 두 번째 부분에는 개별적으로 확인된 트랜잭션 집합이 포함됩니다.

Cryptocurrency Mining

• 블록체인의 불변성은 합의 메커니즘에 의해서 제공되어진다. 그리고 이것은 “Proof-of-Work” protocol에 의해서 일반적으로 말해진다.
• 각각의 block의 불변성과 그리고 전체 블록체인의 불변성은 block 구조의 chain 덕분에 보존된다.
• PoW에서 network에서의 몇몇 노드는 unique한 hash value를 찾기위해서 hash puizzle을 해결한다. 그리고 이것을 네트워크에 있는 모두 다른 노드에게로 broadcasting을 진행한다.
• valid hash value를 broadcasting한 첫번째 노드는 block reward에게 보상을 받고 그리고 transaction fee를(거래 수수료를) 수집한다.
• A valid hash value는 다른 타겟에 따라서 검증되어진다. (만약 이것이 다른 타겟을 만족된다면, 이것은 모든 다른 노드들이 승낙해야하고 그리고 타당한 hash에서 찾은 노드는 보상받아진다.
• 다른 PoW 구현은 대게 다른 타겟에의해서 다른 방법을 갖고 있습니다.

Cryptomining(jacking)의 공격자의 공격 동기(?)

• Miner는 시행착오를 통해 모든 시도에 대한 nonce값을 증가시켜 유효한 hash 값을 찾으려고 한다.
• 유효한 hash값이 찾아지자마자, 전체적인 block은 넹트워크에 broadcast되고, 해당 block은 가장 마지막 블록의 끝에 추가되어진다.
• 이것은 잘 알려진 cryptocurrency mining의 과정이다 그리고 이것은 새로운 cryptocurrencies를 만들기위한 단지 하나의 방법이다.
• miner들에 의해서 valid hash value의 찾는것의 기회는 직접적으로 minor의 hash power와 관련이다. (그리고 이것은 hardware 기반된 연산능력과 관련있다.)
• 그러나 더 많은 하드웨어는 전력 소비를 증가시킨다.
• 따라서 공격자는 자신의 전력 소비를 늘리지 않고 계산 능력을 높일 수 있는 새로운 방법을 찾고자 하는 동기를 갖게 됩니다.

Mining의 역사

• Bitcoin의 발명에 따라서, 만은 다른 대체코인 (altcoin들은) 합병되거나 또는 여전히 합병중이다. 이러한 새로운 암호화폐는 비트코인의 일부 문제(예: 확장성[40], 개인 정보 보호)를 해결하거나 새로운 애플리케이션(예: 스마트 계약[41])을 제공한다고 주장합니다.
• Bitcoin의 일찍의 개발에서 mining은 주로 CPU에서 이뤄졌고 사용자들은 쉽게 귿르의 일반적인 CPU를 Bitcoin Mining에 사용할 수 있었다.
• 시간이 흘러서 GPU 기반의 miner들은 충분히 CPU miner보다 더 많은 이득을 얻을 수 있었다. GPU들이 특히 무거운 applicaiton을 위한 높은 연산능력을 가졌기 때문이다.
• 후에 Field Programmable Gate Array(FPGA)는 암호화폐 체굴의 경향을 바꿨다. 그들은 hardware를 customized하고 그리고 충분한 이익을 제공하기 때문이다. (CPU, GPU 기반의 체굴보다)
• 마지막으로, Mining에 기반되는 Application-Specific Integrated Circuit (ASIC)의 사용은 최근에 채굴 산업을 지배하고 이;ㅆ다. 그들은 특히 암호화폐 체굴을 위해서 특히 제작되고 구성될 수 있기 떄문이다.

Block-chain의 다양한 hash_function의 사용, Monero의 해쉬 함수 사용의 진행

• alternative cryptocurrencies들은 또한 block-chain에서 다른 hash function을 사용했다. 그리고 이것은 채굴 과정에서 다양성을 이끌었다.
• Monero는 CryptoNight algorithm을 hash function으로 사용한다. CryptoNight는 특히 CPU와 GPU Mining을 위해서 디자인되었다. 이것은 ASIC miner들을 막기위해서 L3 Cache를 사용한다.
• RandomX algorithm의 사용과 함께 Monero blockchain은 완전히 ASIC miner들이 줄어들게 하였고 그리고, CPU의 특성을 최대로 사용할 수 있게하였다.
• 이 특징은 Monero가 단지 주요한 암호화폐 CPU 마이닝의 선호도를 증가시키면서 platform이 되도록했다.
• 또한, 모네로는 사설 암호화폐로도 알려져 있으며, 믹서와 링 서명을 통해 추적 불가능 및 연결 불가능 기능을 제공합니다.
• Monero의 ASIC 채굴 방지 특성과 개인 정보 보호 기능은 공격자에게 바람직합니다.

SOK 방법론

Paper

• 1개의 논문은 Survey를 제외하면 나머지는 크게 두가지 Cryptojacking detection paprers(27) 와 Crpytojacking analysis paper(15)를 확인할 수 있었다.
• 이것들을 잘 정리해서 Systematization하게 정리를 진행하였다.

Samples

• 대부분의 cryptojacking 논문들은 하나의 Cryptojacking Malware의 측면에만 집중되어있지만 crryptojacking을 이해하기위해서는 우리는 실제 cryptojacking malware sample로부터 이점을 얻게 되었다.
• 이 목적을 위해서 우리는 2개의 데이터셋을 수집하였다.
  1. VriusTotal (VT) Dataset: VT dataset은 20200개의 암호화폐 “miner” Sample과 VT 스캔 보고서로 구성된다.
  2. Public WWW Dataset: 그들의 source code에서 Crpytomining script를 포함하고 있는 6269의 독립적인 domain을 찾았다.
• 우리는 이 두 데이터셋을 해당되는 SECTION과 따르는 목적을 위해서 사용했다.
  1. in-browser 와 host-based cryptojacking의 lifecycle을 이해하기 위해서
  2. 다른 연구 및 크립토재킹 멀웨어의 출처로 제공된 서비스 제공자 목록을 확인하기 위해서
  3. 브라우저 내 크립토재킹 악성코드에 사용된 모바일 필터링 방법의 사용을 확인하기 위해서
  4. 모네로가 크립토재킹에 사용되는 주요 대상 통화인지 확인하기 위해서
  5. cryptojacking malware를 사용하는 다른 암호화폐를 찾기위해서
  6. 난독화를 위한 CPU 제한 기술의 존재를 확인하기 위해서
  7. 난독화를 위한 코드 인코딩 사용을 확인하고 이해하기 위해서
• 하지만 해당되는 두 Dataset에도 limitation이 존재했다.
• VT 데이터 세트의 경우 Academic API 권한과 스캔 보고서를 사용하여 VT에 의해 437K 고유 샘플(크립토재킹 및 비크립토재킹)이 제공됩니다.
• 따라서 더 확장된 권한이 있는 API 액세스가 존재하기 때문에 VT 데이터 세트는 VT에 대한 완전한 크립토재킹 샘플 목록이 아닙니다.
• 예를 들어, VT 데이터 세트에 있는 모든 크립토재킹 샘플의 85%가 2018년의 것임을 관찰했으며, 이는 2018년 샘플이 VT 데이터 세트에서 과도하게 표현되었음을 보여줍니다.

• 따라서 실제 샘플의 표현 측면에서 결론은 편향이 있을 수 있습니다. 그러나 이러한 대규모 측정 연구는 이 작업의 범위를 벗어납니다.
• 예를 들어, [46]의 연구는 12년 동안 수집된 120만 명의 악성 암호화폐 채굴자를 대상으로 한 이러한 연구를 제시합니다.
• 우리 논문에서 우리는 크립토재킹 멀웨어의 행동 특성을 이해하고 문헌의 연구를 검토하는 데 중점을 두었습니다.
• e 데이터 세트와 그 한계에 대한 자세한 설명을 제공하고 부록에서 이러한 데이터 세트의 분포 분석을 수행합니다.
• 마지막으로 이 분야의 연구를 더욱 가속화하기 위해 데이터세트도 공개했습니다.

Major Attack Instances

• 세 번째 정보 출처는 Kaspersky, Trend Micro, Palo Alto Network, IBM 등의 보안 회사에서 발표한 보안 보고서에 나타난 주요 공격 사례와 뉴스에 나온 주요 보안 사례입니다.
• 뉴스에 나온 주요 공격 사례는 독특하고 흥미로운 사례를 식별하는 데 사용될 수 있으며 보안 보고서는 보안 회사의 실시간 및 대규모 도달으로 인해 동향을 조명할 수 있습니다.
• 특히, 동기 부여 목적으로 섹션 1에서 이러한 인스턴스를 사용했습니다. 섹션 5에서 크립토재킹 맬웨어가 사용하는 다양한 기술을 알아보세요. 크립토재킹 악성코드 공격의 잠재적인 새로운 경향을 알아보기 위해 섹션 7에서.
• 이러한 리소스의 컬렉션은 다른 연구원에게 유용할 수 있고 여기의 공간 제한으로 인해 데이터 세트의 블랙리스트 및 서비스 제공자의 문서 링크와 함께 상세하고 조직적인 방식으로 공개합니다.
• 부록 A의 표 10은 이 백서에서 사용한 공격 인스턴스의 연간 분포를 보여줍니다.

Cryptojacking의 유형

• 암호화폐 채굴 악성코드라고도 알려진 크립토재킹 악성코드는 사용자가 암호화폐를 채굴하고 보상을 받을 수 있는 권한 없이 피해자 기기(예: 컴퓨터, 모바일 기기)의 컴퓨팅 리소스를 손상시킵니다.
• Cryptojacking malware의 lifecycle은 3가지 단계로 구성된다.
  1. script preparation
  2. scrpit injection
  3. the attack
• script 준비와 공격 단계는 모든 cryptojacking malware type과 같다.
• 반면에, script injection 단계는 malicious script를 website에 삽입하거나, 또는 malware를 다른 application에 삽입하는 것에 따라 다르다.
• 이것에 기반하여 우리는 cryptojacking을 두가지 종류로 나누다.
  1. In-browser crpytojacking
  2. Host-based cryptojacking

Type-1: In-browser Cryptojacking

• JavaScript(JS) 및 WebAssembly(Wasm)와 같은 웹 기술의 발달로 대화형 웹 콘텐츠가 가능해지며, 이는 피해자 장치(예: 컴퓨터 또는 모바일 장치)의 여러 계산 리소스(예: CPU)에 액세스할 수 있습니다.
• 브라우저 내 크립토재킹 맬웨어는 이러한 웹 기술을 사용하여 피해자의 CPU에서 웹 페이지 상호 작용을 통해 암호 화폐 마이닝을 위해 피해자의 시스템에 무단으로 액세스합니다.
• 해당 그림은 in-browser cryptojacking malware에서 Script를 준비하고 inject하는 단계입니다.
  • (Step1) Script Owner는 첫번째로 registers(등록하고)
  • (Step2) 서비스 제공자로부터 서비스 자격 증명과 바로 사용할 수 있는 마이닝 스크립트를 받습니다
  • (Step3) 서비스 제공자는 마이닝 작업을 사용자 간에 분리하고 나중에 마이닝 풀에서 모든 수익을 수집하여 사용자 간에 공유합니다. 서비스 자격 증명을 받은 스크립트 소유자는 악성 크립토재킹 스크립트를 웹사이트의 HTML 소스 코드에 삽입합니다.

• 공격단계에서는 Fig2처럼 진행된다.
  • (Step 1,2) victim은 첫번째로 그들의 기기로부터 이 website source code로 접근한다.
  • (Step 3) 웹 브라우저는 웹 사이트를 로드하고 자동으로 크립토재킹 마이닝 스크립트를 호출합니다.
  • (Step 4) 스크립트가 실행되면 서비스 제공자에게 마이닝 작업을 요청합니다.
  • (Step 5) 서비스 제공자는 작업 요청을 마이닝 풀로 전송합니다.
  • (Step 6) 그런 다음 마이닝 풀은 마이닝 작업을 할당합니다.
  • (Step 7) 서비스 제공자는 작업을 마이닝 스크립트에 반환합니다.
  • (Step 8) 마이닝 스크립트는 이 새로운 마이닝 할당을 피해자의 컴퓨터에 반환합니다.
  • (Step 9) 피해자의 장치가 마이닝 프로세스를 시작합니다. 마이닝 스크립트와 서비스 제공자가 온라인 상태를 유지하는 한 스크립트는 피해자의 컴퓨터에서 마이닝 프로세스를 계속합니다.
  • (Step 10) 그런 다음 마이닝 결과를 서비스 제공자에게 반환합니다.
  • (Step 11) 서비스 제공자는 다른 소스에서 모든 데이터를 수집하고 그 결과를 마이닝 풀로 보냅니다.
  • (Step 12) 마지막으로 마이닝 풀은 마이닝된 통화의 형태로 서비스 제공자에게 보상을 다시 보냅니다.
• 스크립트 소유자는 서비스 공급자가 서비스 요금을 인하한 후 서비스 자격 증명을 사용하여 서비스 공급자로부터 지분을 받습니다.
• 이 생태계에서 공격자는 피해자의 CPU 파워를 사용하며 피해자는 다른 주체로부터 어떠한 대가나 혜택도 받지 못합니다.

Type-2: Host-based Cryptojacking

• 호스트 기반 크립토재킹은 공격자가 피해자 호스트의 리소스에 액세스하고 맬웨어 소유자를 위한 좀비 컴퓨터로 만들기 위해 사용하는 조용한 맬웨어입니다.
• 브라우저 내 크립토재킹 멀웨어와 비교할 때 호스트 기반 멀웨어는 웹 스크립트를 통해 피해자의 연산 능력에 액세스하지 않습니다. 대신 호스트 시스템에 설치해야 합니다.
• 따라서 이들은 일반적으로 취약성 또는 사회 공학 기술을 사용하여 타사 애플리케이션에 내장되거나 드라이브 바이다운로드 기술의 페이로드(payload)와 같은 방법을 통해 호스트 시스템에 전달됩니다.
• Cryptojacking Malware 주입 단계
  1. 스크립트 준비 단계는 승인되지 않은 암호화폐 채굴 악성코드 생성
  2. 공격자는 피해자를 속이기 위해 이 멀웨어를 합법적인 애플리케이션과 병합합니다.
  3. 악성코드 준비 후 악성 애플리케이션을 온라인 데이터 공유 플랫폼(예: 토렌트, 퍼블릭 클라우드)에 업로드하는 것으로 악성코드 주입 프로세스가 시작됩니다.
  4. 피해자가 감염된 애플리케이션을 다운로드하여 호스트 시스템(예: 개인용 컴퓨터, IoT 장치, 서버)에 설치하면 수명 주기의 맬웨어 주입 단계가 완료됩니다.
• Cryptojacking Malware 공격 단계
  1. 호스트 기반 크립토재킹 악성코드는 웹 소켓 또는 API를 통해 마이닝 풀에 연결되고 해시 퍼즐 작업을 수신하여 해시 값을 계산합니다
  2. 계산된 해시 값은 마이닝 풀로 다시 전송됩니다.
  3. 마지막으로 공격자는 에너지 소비 없이 피해자와 아무 것도 공유하지 않고 모든 수익을 받습니다.
• 서비스 제공자로부터 모든 수익을 암호화폐 형태로 받은 공격자는 수익을 사용할 수 있는 세 가지 옵션이 있습니다.
  1. 교환 또는 p2p 거래를 통해 법정 통화로 변환
  2. 서비스를 위한 암호화폐로 사용 [50] , 또는
  3. 암호화폐 믹싱 서비스를 사용하여 그 흔적을 덮습니다.
• 크립토재킹 경제/지불에 대한 추가 종단 간 분석은 이 연구의 범위를 벗어나며 랜섬웨어 도메인에서 유사한 연구를 찾을 수 있습니다.

5. Cryptojacking Malware Techniques

이 섹션에서는 크립토재킹 멀웨어가 사용하는 기술에 대해 설명합니다. 특히, 우리는 다음 사항을 분명히 합니다.

• 크립토재킹 멀웨어의 출처
• 감염 방법
• 피해자 플랫폼 유형
• 대상 암호화폐
• 회피 및 난독화 기술

5.1 Source of Cryptojacking Malware

이 하위 섹션에서는 스크립트가 누구에 의해 생성되고 공격자에게 어떻게 배포되는지 설명합니다.

Service Providers

• Service Provider는 cryptojacking scripts 들을 만들고 분배한다.
• Service Provider는 모든 유저에게 독립된 ID를 부여한다. (hash power면에서 그들을 구분하기 위해서)
• Service Provider는 사용자를 위해서 script를 생성해준다. (사용자가 악의적인지 아닌지에 상관없이)
• 행위를 할 필요가 있는 모든 유저들은 (공격을 위한 malicious sample을 만들기 위해서) script를 복사하고 붙여넣는다.
• Coinhive는 2017년에 브라우저에서 mining script를 즉시사용하게 될수 있도록 제안한 첫번째 service provider이다. (web site와 content owner에게 대체 소득을 주기 만들어주기 위해서)
• 비록 Coinhive의 첫번째 아이디어는 webpage onwer에게 대체가능한 소득을 주는 것이었을 지라도, 이것은 빠르게 공격자들사이에게 유명해졌다.
• Conhive의 활동 동안, 그들(공격자들)은 Monenro의 전체 해쉬 비율의 상당한 몫을 점유했다.
• Monero’s price가 급격하게 하락 후, Coinhive는 그들의 Owner들에 의해서 2019년 3월에 shutdown 되었다. (더이상 상업적으로 이득을 볼 수 없기 때문에)
• 그들의 연산(활동)을 지속하기 위한 몇몇 대채 service provider들은 Authedmine [3], Browsermine [58], Coinhave [59], Coinimp [60], Coinnebula [61], Cryptoloot [4], DeepMiner [62], JSECoin[63], Monerise [64], Nerohut [65], Webmine [66], WebminerPool[67], and Webminepool [68]. 이다.
• 몇몇의 이런 service provider들은 또한 몇몇 새로운 기능들을 가져왔다. (사용자가 크립토마이닝 매개변수를 조정할 수 있도록 사용자 알림 방법 또는 GUI를 제공하는 것과 같은 것.)
• 주목해라, 우리는 또한 이런 service provicer들이 PublicWWW데이터 세트의 샘플을 사용하는 것을 확인했다.

• 각각의 sample의 따르는 service provider들을 찾기위해서, 우리는 모든 샘플의 HTML source code에서 keytword 검색을 수행했다.

• 우리는 5328개의 샘플이 앞서 언급한 14개의 서비스 제공자 중 하나를 사용하는 반면 941개의 샘플은 알려지지 않은 서비스 제공자를 사용한다는 것을 발견했습니다.

• 또한 144개의 샘플이 소스 코드에 여러 서비스 제공업체의 스크립트를 사용하고 있다는 사실도 확인했습니다.

• PublicWWW 데이터셋에 대한 자세한 내용은 부록에서 확인할 수 있습니다.
  • VT 데이터 세트에는 AV 탐지 방법을 우회할 수 있는 샘플과 VT에 제출한 적이 없는 샘플이 포함되지 않습니다.
  • 보다 포괄적이고 최신의 크립토재킹 악성코드 데이터 세트를 생성하기 위해 HTML 소스 키워드 검색 엔진인 PublicWWW[45]를 사용했습니다.
  • 다음 단계를 사용하여 PublicWWW 데이터 세트를 만들었습니다. 1) 블랙리스트 [106], [107], 이전 연구 [74], [112]에서 키워드 목록을 얻었고 VT 데이터 세트에서 샘플의 수동 분석을 얻었습니다. 특히, 우리는 NoCoin[106]과 MinerBlock[107]의 병합된 블랙리스트를 사용했습니다. [74]의 76개 키워드와 [112]의 38개 키워드; VirusTotal 샘플의 25개 키워드. 2) PublicWWW에서 각 키워드에 대한 URL 목록을 다운로드했습니다. 3) 고유한 URL 목록을 얻기 위해 목록을 병합하고 중복을 제거했습니다. 4) 웹 크롤러를 사용하여 각 URL의 HTML 소스 코드를 다운로드했습니다.
    5) 샘플의 소스 코드에서 키워드를 확인하여 샘플을 확인하고 이 조건을 만족하지 않는 샘플을 제거했습니다.
  • 이 프로세스를 통해 6269개의 고유한 URL이 생성되었습니다.
  • 소스 코드 및 이 샘플에 사용된 154개의 고유 키워드가 포함된 최종 키워드 목록입니다.
  • 이전 두 연구[74], [112]와 공개적으로 알려진 서비스 제공자에 대한 연구 결과에서 우리는 총 14개의 서비스 제공자를 식별했습니다.
  • 설명서를 수동으로 분석한 결과 5328개의 샘플이 해당 14개 서비스 제공업체의 스크립트를 사용하고 있음을 발견했습니다.
  • 그런 다음 샘플을 고유하게 캡처하기 위해 24개의 고유한 키워드를 식별했습니다.

  

  • 그림 9는 PublicWWW 데이터 세트에 있는 샘플의 서비스 제공자 분포를 보여줍니다.
  • 그림과 같이 비활성 상태임에도 불구하고 코인하이브는 여전히 가장 보편적인 서비스 제공자입니다.
  • 반면, Coinimp는 두 번째로 높은 서비스 제공업체이며 이 문서를 작성하는 현재에도 여전히 활성화되어 있습니다.
  • 또한 144개의 샘플이 여러 샘플의 스크립트를 사용하고 있는 반면 941개의 샘플 중 관련 서비스 공급자를 식별할 수 없음을 발견했습니다.
  • 또한 PublicWWW에 있는 샘플은 이 백서의 실험 중에 캡처되었지만 이러한 도메인에 미래에 언제든지 암호 화폐 마이닝 스크립트가 포함될 것이라는 의미는 아닙니다.
  • 따라서 소스 코드를 확인하여 분석을 위해 암호 화폐 마이닝 스크립트의 존재를 다시 확인해야 할 수 있습니다.

Cryptominer S/W

• 블록체인 네트워크는 여러 네트워크 프로토콜과 암호화 인증 방법에 의존합니다.
• miner는 이러한 프로토콜의 일부여야 하며 커뮤니티에서 제공하고 개발한 규칙을 따라야 합니다.
• PoW 기반 암호화폐에는 블록체인 네트워크에 대한 특정 규칙도 있습니다.
• 블록체인 기술의 공개적이고 개방적인 특성으로 인해 이러한 miner의 소스 코드는 코드 공유 및 공동 개발 플랫폼을 통해 커뮤니티에서 게시됩니다.
• 공격자는 이러한 miner를 쉽게 획득 및 수정하고 피해자의 호스트 시스템 내에서 광업을 수행하도록 채택할 수 있습니다.
• 또한 여러 마이닝 풀에서 제공하는 몇 가지 플러그 앤 플레이 스타일 마이닝 응용 프로그램도 있습니다.
• 공격자들은 또한 크립토재킹을 위해 이러한 애플리케이션을 수정하고 있습니다.
• 예를 들어, XMRig[69]는 합법적인 고성능 Monero 광부 구현이며 오픈 소스입니다.
• 그 서명은 Palo Alto Networks와 IBM에 의해 보고된 전 세계 수백만 대의 최종 장치에 영향을 미치는 몇 가지 매우 영향력 있는 공격에서 발견됩니다[70, 71].
• 또한 VT 데이터 세트에서 “xmrig”라는 서명으로 레이블이 지정된 139개의 고유한 샘플도 발견했습니다.

5.2 Infection Methods

이 섹션에서는 크립토재킹 악성코드가 사용하는 감염 방법에 대해 자세히 설명합니다.

Websites Owner

웹사이트 서버에 대한 관리자 액세스 권한이 있는 웹사이트 소유자는 브라우저 내 마이닝 스크립트를 사용하여 추가 수익을 얻거나 제공하는 프리미엄 콘텐츠에 대한 대체 옵션을 제공할 수 있습니다. 이 방법으로만 웹 페이지 소유자는 웹 페이지에서 스크립트의 수익을 받을 수 있습니다. 일부 웹사이트 소유자는 방문자에게 자신이 사용하는 크립토마이닝 스크립트에 대해 알리지만 다른 웹사이트 소유자는 방문자에게 알리지 않으며 이러한 행동은 여러 국가에서 범죄로 간주될 수 있습니다[72].

Compromised Websites

• 공격자는 여러 취약점이 있는 임의의 웹 페이지에 크립토재킹 멀웨어를 주입할 수 있습니다. 실제로 크립토재킹이라는 이름 자체는 “크립토마이닝”과 “하이재킹”의 조합입니다. Ruth et al. [73] 10명의 다른 사용자가 찾은 모든 Coinhive 스크립트의 85%를 생성했다고 말합니다. 이 웹페이지의 소유자는 이 스크립트에 대한 정보가 없습니다. 또한, 그들은 그들로부터 이익을 얻지 못합니다.
• 몇몇 연구에서는 공격자가 일반적으로 감염된 모든 웹 페이지에 대해 동일한 ID를 사용하여 보다 쉽게 추적할 수 있다고 주장합니다. 예를 들어, [74]의 저자는 이 방법을 통해 크립토재킹 캠페인을 공개하고 이러한 캠페인의 대부분이 원격 코드 실행 취약점과 같은 취약점을 활용한다는 것을 발견했습니다. 이 도메인과 관련된 일반적인 사례를 조사했을 때 한 보안 회사는 모든 ap.gov.in 도메인 및 하위 도메인에 영향을 미치는 인도 정부 웹 페이지[75] 내에서 크립토재킹 멀웨어를 발견했습니다.

Malicous Ads

일부 공격자는 자신의 크립토재킹 멀웨어를 JavaScript 기반 광고에 삽입하고 마이닝 스크립트를 통해 배포합니다. 이 방법을 사용하면 공격자가 추가 노력 없이 임의의 사용자에게 접근할 수 있습니다. 이 공격을 하기 위해 웹페이지나 애플리케이션을 감염시킬 필요가 없습니다. YouTube[5] 및 Google ad[76] 서비스도 감염되었으며 이러한 웹사이트와 해당 서비스의 사용자는 크립토재킹 공격의 피해자가 되었습니다. 공격자는 방문자와 함께 Monero를 성공적으로 채굴했습니다. 공격자는 방문자와 함께 Monero를 성공적으로 채굴했습니다. 이 방법의 장점은 공격자가 웹사이트의 서버에 액세스하지 않고 인기 있는 웹사이트에 삽입될 때 많은 방문자에게 도달할 수 있다는 것입니다.

Malicious Browser Extensions

브라우저 확장은 또한 컴퓨터의 CPU 소스에 도달하여 웹 페이지에 있는 크립토재킹 맬웨어처럼 작동할 수 있습니다. 이것들 확장에는 큰 차이점이 있습니다. 감염된 브라우저가 피해자가 액세스한 웹 사이트와 독립적으로 열려 있는 한 온라인 상태를 유지하고 마이닝을 수행할 수 있습니다. 그러나 Google과 같은 주요 브라우저 운영자는 실제로 대부분 악용되고 있기 때문에 의도와 상관없이 플랫폼에서 모든 크립토마이닝 확장을 금지할 것이라고 발표했습니다[77].

Third-party S/W

• 맬웨어를 시장 애플리케이션과 병합하고 여러 공유 플랫폼을 통해 게시하는 것은 맬웨어를 유포하는 공격자 사이에서 잘 알려진 방법입니다. 공격자는 크립토마이너 소프트웨어를 수정하여 백그라운드에서 크립토재킹을 실행하고 합법적인 애플리케이션과 병합합니다. 공격자는 계산 집약적인 응용 프로그램(예: 애니메이션 응용 프로그램, 하드웨어 요구 사항이 높은 게임, 엔지니어링 프로그램)을 사용하는 경향이 있습니다. 그 이유는 이러한 응용 프로그램을 사용하면 피해자의 시스템에 계산적으로 강력한 하드웨어와 호스트 기반 크립토재킹 멀웨어가 내장된 응용 프로그램이 있기 때문입니다. 피해자 호스트 시스템의 필요한 하드웨어 구성 요소에 대한 액세스 권한이 있어야 합니다.
• 한 공격자가 Zoom 화상 통화 애플리케이션을 일반 비트코인 광부와 병합하고 여러 공유 플랫폼을 통해 배포하는 등 서버의 주요 사례가 이미 발생했습니다. 또 다른 공격에서 공격자는 인기 있는 비디오 게임 Fortnite를 사용하여 Bitcoin을 채굴하기 위해 바이러스를 퍼뜨렸습니다. 2017년에 인기를 끌었던 브라우저 내 채굴과 달리 2013년에도 이 방법을 사용한 공격 사례를 발견했는데, 비트코인 채굴 스크립트가 게임 코드 자체의 일부로 발견되었습니다.

Exploited Vulnerabilities.

여러 경우에 공격자는 하드웨어 및 소프트웨어에서 발견한 몇 가지 제로 데이 취약점을 악용합니다. 공격자는 채굴 악성코드를 여러 장치에 주입하여 암호화폐를 채굴하도록 합니다. 지난 몇 년 동안 몇 가지 중요한 사건이 발생했습니다. 가장 주목할 만한 예는 전 세계적으로 140만 Mikrotik [15] 라우터에 직접적인 영향을 미치며 하드웨어 운영 체제의 취약점이 이 사례를 유발합니다. 연구원들은 RCE(Remote Code Execution) 공격[80]의 대부분이 호스트 시스템 내에서 마이닝 스크립트를 찾는 것을 목표로 한다고 주장합니다.

Social Engineering

사회 공학은 맬웨어 공격자가 보안 관행을 우회하기 위해 일반적으로 사용하는 기술입니다. 마찬가지로 공격자는 사회 공학 공격을 사용하여 인간의 심리를 조작하고 피해자의 액세스 권한을 탐색하거나 컴퓨터에 악성 소프트웨어를 설치합니다. 연구원들은 공격자가 피해자의 컴퓨터에 크립토재킹 멀웨어를 설치하기 위해 사회 공학과 같은 오래된 기술을 여전히 사용하고 있음을 관찰했습니다.

Drive-by Download

드라이브 바이 다운로드는 악성 파일 공격자가 자신도 모르게 피해자의 기기에 악성 파일을 전달하고 설치하는 데 사용하는 또 다른 기술입니다. 피해자는 웹 페이지를 방문하거나 팝업 창을 열거나 이메일 첨부 파일을 확인하는 동안 이 공격에 직면할 수 있습니다. 한 사례[49]에서 공격자는 이 방법을 사용하여 피해자의 기기에 크립토재킹 멀웨어를 삽입했습니다. 그들은 셸 실행 취약점을 악용하여 크립토재킹 멀웨어를 피해자의 컴퓨터에 직접 다운로드했습니다.

5.3 Victim Platform Types

Browser

브라우저는 공격자가 피해자의 계산 리소스를 사용하기 위해 피해자에게 악의적인 페이로드를 전달할 필요가 없기 때문에 가장 일반적으로 사용되는 피해자 플랫폼입니다. 즉, 피해자가 감염된 웹페이지에 도달하면 악성코드가 자동으로 마이닝을 시작하고 데이터를 남기지 않습니다. 브라우저 환경의 두 번째 중요한 이점은 서비스 제공업체 덕분에 즉시 사용 가능한 마이닝 스크립트를 모든 웹 페이지에 매우 쉽고 빠르게 적용할 수 있다는 것입니다. 섹션 6에서 제시하는 문헌의 연구는 대부분 브라우저 내 크립토재킹에 중점을 둡니다. 그러나 공격자는 브라우저를 통해 피해자의 CPU에만 액세스할 수 있으므로 비트코인과 같은 ASIC 마이너를 허용하는 통화에 대해서는 실행이 불가능합니다. 따라서 브라우저를 사용하는 크립토재킹 멀웨어 샘플은 대부분 Monero 또는 기타 크립토 통화를 채굴하며, 이는 비ASIC CPU 아키텍처에서 개인용 컴퓨터의 크립토마이닝을 허용합니다.

Personal Computers

개인용 컴퓨터는 일반적으로 최종 사용자가 일상적인 작업을 수행할 수 있도록 설계되었습니다. 개인용 컴퓨터는 최근에 고수준 계산을 극복하여 사용자가 대용량 계산 응용 프로그램(예: 비디오 게임, 비디오 렌더링 응용 프로그램)을 사용할 수 있도록 수정되었습니다. 개인용 컴퓨터를 표적으로 하는 공격자는 제한된 수의 피해자가 수익성이 없기 때문에 많은 피해자에게 도달하는 것을 목표로 합니다. 인기 있는 웹사이트에 내장된 브라우저 내 크립토재킹은 이러한 유형의 크립토재킹 공격에 이상적입니다. 또한 대규모 캠페인을 통해 이러한 공격을 인스턴스화할 수도 있습니다. 예를 들어, [81]에서 Cisco 연구원은 페이로드에 XMRig를 제공하는 2년 캠페인의 결과를 문서화합니다. 그들은 또한 멀웨어가 “자신의 행동을 숨기기 위해 최소한의 노력을 기울이고”, 희생자 풀을 늘리기 위해 “온라인 양식과 소셜 미디어에” 멀웨어를 게시하는 것을 관찰했습니다.

On-premise Server

온프레미스(즉, 사내) 서버는 데이터가 온사이트에서 저장되고 보호되는 서버입니다. 하드웨어 및 데이터에 대한 더 강력한 보안과 완전한 제어를 제공하므로 정부 기관과 같은 매우 중요한 조직에서 선호합니다. 그러나 온프레미스 서버는 호스트 기반 크립토재킹 멀웨어 샘플에 의해 공격을 받는 또 다른 피해자 플랫폼 유형이기도 합니다. 개인용 컴퓨터와 비교할 때 온프레미스 서버는 계산 면에서 더 강력하고 많은 연결에서 액세스하는 수많은 서비스를 호스팅합니다. 이를 통해 공격자는 더 넓은 공격 표면에 접근할 수 있습니다. 그러나 공격자는 이 플랫폼에 액세스하기 위해 온프레미스 서버에 크립토마이닝 스크립트를 제공하고 설치하는 방법을 찾아야 합니다. 여러 사례에서 공격자는 시스템 취약점[10], 제3자에 감염된 소프트웨어[6], 여러 사회 공학적 방법[21]을 사용하여 피해자의 사내 서버에 크립토재킹 멀웨어를 설치했습니다.

Cloud Server

크립토재킹 멀웨어는 클라우드 리소스를 악용하여 암호화폐를 채굴하기도 합니다. 클라우드 기반 크립토재킹 공격은 지난 2년 동안 빠르게 확산된 문제로, 특히 공격자가 감염시킬 새로운 플랫폼을 찾고 있던 코인하이브(Coinhive)가 종료된 후 인기를 얻었습니다. 공격자는 피해자의 클라우드 서버를 하이재킹하고 시스템에서 암호화폐 채굴자를 찾기 위해 여러 취약점을 표적으로 삼습니다. 클라우드 서버, 특히 Amazon Web Services(AWS)와 같은 IaaS(Infrastructure-as-a-Service) 플랫폼은 다음과 같은 이유로 공격자의 표적이 되고 있습니다.

• Virtaully infinite resources ( 무한한 가상 자원 )
• Large attack surface due to server structure ( 서버 구조이기에 공격의 큰 표면 형태 )
• Malware spreading capbilityes ( 악성코드 확산 능력 )
• Reliable Internet connection ( 안정적인 인터넷 연결 )
• Longer mining/profit period due to host-based capabilities ( 호스트 기반 기능으로 인해 더 긴 채굴/ 수익 기간)

이러한 유형의 크립토재킹 멀웨어의 여러 인스턴스가 클라우드 서버에서 발견되었습니다[19], [20], [22], [82]–[84]. 이러한 공격에서 공격자는 다양한 기술을 사용하여 클라우드 서버를 하이재킹하여 크립토재킹 멀웨어를 주입했습니다. 예를 들어, 2020년 연례 보고서에서 Check Point Research[82]는 공격자가 이익을 위해 Linux 및 Windows 서버를 대상으로 하는 King-Miner와 같은 인기 있는 DDoS 봇넷에 크립토마이너를 통합하는 것을 관찰했습니다.

또 다른 공격자 사례[20]에서 연구원들은 악성 파일이 포함된 공개 디렉토리를 발견했습니다. 추가 분석 결과 파일에는 Docket 서버의 개방형 Docker 데몬 포트를 대상으로 하는 DDoS 봇이 포함되어 있으며 궁극적으로 감염 체인 실행 후 크립토재킹 멀웨어를 설치 및 실행하는 것으로 나타났습니다. 유사한 공격 사례[22]에서 연구원들은 WebLogic 서버를 대상으로 하는 CVE 익스플로잇을 사용하여 전달된 크립토재킹 멀웨어에 주목했습니다. Tesla 소유의 Amazon[19]과 Azure Kubernetes 클러스터의 클라이언트[84]는 잘못 구성된 클라우드 서버로 인해 크립토재킹 공격에 노출되었습니다. 실제로 Jayasinghe et al. [38]은 클라우드 기반 인프라를 표적으로 하는 크립토재킹 멀웨어의 수가 매년 증가하고 있으며 기업과 같은 더 눈에 띄는 도메인에 영향을 미치는 것으로 나타났습니다.

IoT Botnet.

IoT 장치는 일반적으로 기본 작업을 수행하기 위한 작은 처리 능력을 가지고 있습니다. 2025년까지 215억 개 이상의 IoT 장치가 인터넷에 연결될 것으로 예상됩니다[85]. 공격자는 이러한 IoT 장치 수천 개가 협력하여 봇넷을 만들고 작은 프로세서로 인해 DDoS와 같은 여러 공격을 수행하는 것을 목표로 합니다. , 제한된 하드웨어, 낮은 수준의 보안 및 취약한 자격 증명은 Mirai 봇넷의 DDoS 공격 [86]의 예에서도 악용되었습니다. 나중에 IBM 연구원들은 Mirai Botnet의 수정된 버전도 비트코인을 채굴하기 시작했음을 발견했습니다[24]. Bartino et al. [87]은 IoT 장치에 채굴 목적으로 하이재킹한 여러 웜이 있다고 밝혔으며 Ahmad et al. [88]은 IoT 장치에 초점을 맞춘 모든 크립토재킹 공격을 탐지하기 위해 경량 IoT 크립토재킹 탐지 시스템을 제안합니다.

Mobile.

모바일 장치를 대상으로 하는 크립토재킹 멀웨어 샘플은 크립토재킹 스크립트를 애플리케이션에 삽입하고 애플리케이션 시장에 애플리케이션을 나열합니다. 다른 모든 유형의 크립토재킹 공격과 마찬가지로 모바일 기반 크립토재킹 샘플에서도 공격 수가 크게 증가했습니다. 이 때문에 Google[89]과 Apple[90] 모두 플랫폼에서 크립토마이닝 애플리케이션을 제거했습니다. 그러나 여전히 대체 시장에 존재합니다[91]. Dashevskyi et al.의 연구. [91]은 Android 기반 크립토재킹 악성코드에 중점을 둡니다.

또한 모바일 장치는 일반적으로 더 제한된 하드웨어와 최적화된 운영 체제(예: iOS 및 Android)를 사용하기 때문에 일반적으로 암호화폐 채굴에 충분히 강력하지 않은 것으로 간주됩니다. 게다가 암호화폐 채굴 프로세스는 추가 배터리와 처리 능력을 소모하므로 모바일 장치에서 과열 및 앱 정지 또는 충돌과 같은 하드웨어 문제가 발생할 수 있습니다. 이러한 이유로 모바일 장치에 대한 크립토재킹 공격은 공격자가 선호하지 않으며 일반적으로 모바일 장치를 옵트아웃(정보주체의 동의를 받지 않고 개인정보를 수집이용한 후, 당사자가 거부 의사를 밝히면 개인정보 활용을 중지 하는방식)하기 위해 모바일 필터링 방법을 적용합니다.

Listing 1은 데이터세트의 샘플에서 찾은 모바일 장치 필터링 방법을 사용한 최근 크립토재킹 샘플입니다. 4행에서 스크립트는 모바일 장치 감지 기능을 자동으로 호출하고 모바일 장치가 아닌 경우에만 암호화폐 채굴 프로세스를 시작합니다.

5.4 Target Cryptocurrencies

이 섹션에서는 공격자가 가장 선호하는 암호화폐에 대한 간략한 정보를 제공합니다.

Monero

Monero는 다른 암호화폐에 비해 몇 가지 장점이 있어 공격자에게 유리합니다. 우선 Monero는 RandomX 마이닝 알고리즘 및 CryptoNight 해싱 알고리즘을 성공적으로 구현 및 수정하여 ASIC 마이너를 방지하고 L3 캐시를 통해 GPU보다 CPU 마이너에게 경쟁 우위를 제공합니다[92]. Monero 커뮤니티는 네트워크를 분산화하는 것을 목표로 하며 소규모 광부라도 Monero를 채굴할 수 있습니다. 브라우저 내 크립토재킹 멀웨어는 브라우저를 통해서만 개인용 컴퓨터의 CPU에 액세스할 수 있기 때문에 Monero는 계산적으로 더 강력한 다른 ASIC 및 GPU 채굴자가 지배적으로 채굴하는 다른 암호 화폐 대신 표적 암호 화폐로 이상적입니다. 둘째, Monero는 암호화 링 서명[93], [94]을 통해 익명 기능을 제공하여 공격자를 추적할 수 없게 만듭니다. Monero의 이러한 기능 덕분에 공격자는 브라우저 내 크립토재킹 멀웨어로 Monero를 채굴하는 경향이 있습니다. PublicWWW 데이터 세트와 해당 서비스 제공업체의 문서에서 샘플의 크립토마이닝 스크립트를 분석할 때 Browsermine, CoinNebula, JSEcoin을 제외한 11개 서비스 제공업체 모두가 Monero를 사용하거나 스크립트에서 Monero를 대상 암호 화폐로 선택할 수 있는 옵션이 있음을 발견했습니다. 이는 PublicWWW 데이터 세트의 샘플 중 91%가 Monero를 사용하여 채굴함을 보여줍니다.

Bitcoin

최근 몇 년 동안 비트코인 채굴은 엄청난 주목을 받았고, 이로 인해 난이도 목표가 극적으로 증가했습니다. ASIC 및 FPGA 마이너는 비트코인의 마이닝 구조가 CPU 및 GPU보다 훨씬 강력하고 수익성이 높은 특정 마이닝 하드웨어를 구축하고 사용할 수 있기 때문에 이러한 급격한 증가의 주요 원인입니다. target 난이도의 증가와 CPU의 단점으로 인해 CPU 마이닝이 불가능하고 수익성이 없었습니다. 따라서 브라우저 내 크립토재킹 공격을 수행하는 공격자는 비트코인 채굴을 선호하지 않습니다. 또한 PublicWWW 데이터 세트의 브라우저 내 크립토재킹 샘플의 서비스 제공업체 중 비트코인 마이닝을 지원하지 않는 것도 확인했습니다. 그러나 호스트 기반 크립토재킹 멀웨어는 피해자 컴퓨터 시스템의 모든 구성 요소에 도달하여 GPU 및 컴퓨터의 기타 고성능 컴퓨팅 리소스에서 비트코인 마이닝을 수행할 수 있습니다. VT 데이터 세트에서도 이를 관찰합니다. 브라우저 내 및 호스트 기반 크립토재킹 멀웨어 모두의 20200 샘플 AV 레이블에서 “bitcoin”에 대한 키워드 검색을 수행했습니다. 우리는 20200개의 샘플 중 7111개에 “bitcoin”이라는 키워드가 포함된 레이블이 표시되어 있음을 발견했습니다. 이것이 해당 샘플이 대상 암호 화폐로 비트코인을 절대적으로 사용하고 있음을 보여주지는 않지만 AV 공급업체가 AV 레이블에 대해 올바른 통화에 레이블을 지정한다는 가정을 기반으로 비트코인을 채굴하는 호스트 기반 크립토재킹 샘플에 대한 잠재적 지표입니다.

Other Cryptocurrencies

크립토재킹은 많은 피해자들 사이에서 크립토마이닝이 병렬화될 수 있기 때문에 공격자에게 매력적입니다. 따라서 암호화폐는 분산형 암호화폐 채굴을 허용할 수 있습니다. Monero와 Bitcoin은 모두 PoW를 합의 방법으로 사용합니다.

그러나 PoW 대신 다른 암호 화폐는 Proof of Stake[95] 및 Proof of Masternode[96]와 같은 다른 합의 모델을 사용합니다.이러한 새로운 합의 모델의 대부분은 분산 전원 기반 마이닝 알고리즘에 의존하지 않습니다. 따라서 크립토재킹은 해당 통화에 대한 옵션이 아닙니다.

분산적으로 채굴할 수 있는 암호화폐[97]의 경우, 채굴 풀은 참여자에게 집단 채굴 서비스를 제공합니다. 공격자들이 선호하는 다른 암호화폐는 비트코인 캐시[98], 라이트코인[99], 이더리움[100]입니다. 브라우저 내 암호화폐 활동을 위해 특별히 개발된 여러 암호화폐도 있습니다. JSEcoin[63]이 그 예이며 투명성도 제공합니다. 이를 위해 생성된 다른 암호화폐로는 BrowsermineCoin[58], Uplexa[101], Sumocoin[102] 및 Electroneum[103]이 있습니다.

5.5 Detection and Prevention Methods

기존의 악성코드 탐지 문헌에는 1) 정적[104] 및 2) 동적[105]의 두 가지 주요 분석 방법이 있습니다. 두 분석 방법 모두 정확성과 유용성 측면에서 몇 가지 장단점이 있습니다.

• Static Analysis: 정적 분석은 응용 프로그램을 실행하지 않고 검사하는 데 널리 사용되는 방법입니다. 정적 분석 도구는 일반적으로 특정 키워드, 맬웨어 서명 및 해시 값을 찾습니다. 크립토재킹 도메인에서 마이닝 차단 브라우저 확장 [106], [107]이 이러한 방식으로 작동합니다. 즉, 미리 결정된 블랙리스트에 제공된 모든 도메인이 차단됩니다. 그러나 정적 감지 방법의 수정, 사전 구성된 특성으로 인해 이러한 구현은 일반적으로 우회하기 쉽습니다.

• Dynamic Analysis: 동적 분석에서 악성 코드 샘플은 통제된 환경에서 실행되며 추가 분석 및 탐지를 위해 해당 행동 특징이 기록됩니다. 맬웨어 분석기는 일반적으로 자동화된 [108] 또는 자동화되지 않은 샌드박스 [105]를 사용하여 코드를 실행하고 맬웨어의 동작을 관찰합니다. 문헌에서 머신 러닝 기반으로 제안된 24개의 탐지 메커니즘은 동적 분석을 사용하여 크립토재킹 멀웨어를 탐지합니다. 이러한 연구는 다양한 데이터 세트, 기능, 분류 알고리즘을 사용하며 그 중 일부는 브라우저 내 및 호스트 기반 크립토재킹 멀웨어 모두에서 작동합니다. 섹션 6.1에서 이러한 연구를 설명합니다.

브라우저 내 크립토재킹 악성코드의 실행은 JavaScript 코드 실행에 따라 달라지므로 이를 중지하는 또 다른 방법은 JavaScript 사용을 비활성화하는 것이지만 이는 브라우저의 사용성을 크게 떨어뜨리기도 합니다. 마지막으로 크립토재킹 탐지 기능을 갖춘 바이러스 백신 프로그램이 있습니다[109], [110]. 그러나 탐지 알고리즘은 독점적입니다.

5.6 Evasion(회피) and Obfuscation(난독화,우회) 기법

크립토재킹 맬웨어의 목적은 피해자의 리소스를 최대한 오래 이용하는 것입니다. 따라서 탐지되지 않고 시스템에 머무르는 것이 가장 중요합니다. 이를 위해 여러 난독화 방법을 사용합니다.

CPU Limiting.

CPU 사용이 암호화폐 채굴 프로세스의 주요 요구 사항이기 때문에 높은 CPU 사용률은 여전히 모든 종류의 크립토재킹 멀웨어의 가장 중요한 공통 지점입니다. 따라서 CPU 사용량 제한은 공격자가 마이닝 스크립트를 난독화하기 위해 매우 선호하는 방법입니다. 이 방법을 사용하면 스크립트 소유자는 높은 CPU 사용량 기반 탐지 시스템을 우회하고 블랙리스트에 들어가는 것을 피할 수 있습니다. 또한 CPU 제한은 더 나은 사용자 경험을 제공하기 때문에 암호화폐 채굴을 대체 수익으로 수행하는 합법적인 웹 사이트 소유자도 사용합니다. Listing 1의 3행은 공격자가 throttle을 0.8로 설정하는 크립토재킹 맬웨어에서 사용하는 CPU 제한 방법의 예를 보여줍니다. PublicWWW 데이터 세트에서 키워드 "throttle: 0.9"를 검색했으며 6269개의 모든 크립토마이닝 스크립트 중 1384개의 샘플이 스로틀을 90%로 설정한다는 것을 발견했습니다.

Hidden Libaray Calls

라이브러리 호출[111]은 프로그래머가 코드를 보다 효율적이고 체계적이며 가독성 있게 만들기 위해 사용하는 잘 알려진 기술입니다. 그러나 공격자가 스크립트를 난독화하는 데 사용할 수도 있습니다. 특히, 탐지 방법에서 마이닝 코드를 숨기기 위해 공격자는 특정 키워드가 없는 새로운 스크립트를 생성합니다. 스크립트의 악성 부분은 스크립트 실행 중에 호출되는 외부 라이브러리로 이동되며, 이 라이브러리를 호출하는 코드 스니펫만 메인 코드에 포함됩니다.

Code Encoding

악성코드 소스 코드를 여러 인코딩 알고리즘으로 인코딩하면 블랙리스트와 같은 키워드 기반 정적 분석 탐지 방법에 대한 가시성을 제공합니다. 이 방법은 텍스트 데이터를 Base64와 같은 다른 형식으로 변환하고 이 프로세스 후에는 컴퓨터에서만 데이터를 읽을 수 있습니다. PublicWWW 데이터 세트에서 찾은 이에 대한 몇 가지 예는 서비스 제공업체인 Authedmine [8] 및 Cryptoloot [4]에서 제공하는 크립토마이닝 스크립트입니다.

Binary Obfuscation

코드 인코딩 기술과 유사하게 바이너리 난독화는 악성 코드 작성자가 표준 문자열 일치 알고리즘에서 악성 코드를 숨기고 샌드박스 및 기타 동적 악성 코드 탐지 방법으로 복구하기 어렵게 만드는 관행입니다. 그러나 그들은 숨기는 데 사용되는 크립토재킹 유형이 다릅니다. 즉, 바이너리 난독화는 호스트 기반 크립토재킹 멀웨어에서 사용되는 반면 코드 인코딩은 브라우저 내 크립토재킹 멀웨어에서 사용됩니다. 바이너리 난독화의 경우 공격자는 일반적으로 UPX와 같은 잘 알려진 패커를 사용합니다. [46]의 작성자는 120만 개의 바이너리 크립토재킹 멀웨어 샘플 중 30%가 난독화되어 있으며 이는 크립토재킹 멀웨어 공격자에게도 일반적인 관행임을 보여줍니다.

Literature Review

특히 2017년 이후 크립토재킹 악성코드의 급증은 학계의 관심을 끌었고 많은 출판물을 낳았습니다. 우리는 이 연구가 1) 크립토재킹 탐지 연구, 2) 크립토재킹 예방 연구, 3) 크립토재킹 분석 연구의 세 가지 주제에 초점을 맞추고 있음을 발견했습니다. 42개의 학술 연구 논문 중 15개가 크립토재킹 데이터 세트의 실험적 분석에 초점을 맞추고 있음을 발견했습니다. 동시에 그 중 3개는 크립토재킹 악성코드의 탐지 및 예방 방법을 함께 제안하고, 24개는 크립토재킹 악성코드 탐지 방법만을 제안한다. 다음 하위 섹션에서는 이러한 연구에 대한 검토를 제공합니다.

Cryptojacking Detection Studies

이 섹션에서는 크립토재킹 맬웨어 탐지 연구를 조사합니다. 표 1은 문헌에서 제안된 크립토재킹 탐지 메커니즘의 목록을 보여줍니다. 다음 하위 섹션에서는 이러한 탐지 메커니즘에 사용되는 데이터 세트, 플랫폼, 분석 방법, 기능 및 분류기에 대한 자세한 개요를 제공합니다.

Dataset.

데이터셋은 일반적으로 제안된 탐지 방법의 효율성을 평가하는 데 사용됩니다. 크립토재킹 맬웨어 탐지 문헌에는 여러 데이터 세트가 일반적으로 사용됩니다. 가장 일반적인 것은 Alexa 상위 웹 페이지 [113], [116], [117], [119], [120], [122]입니다. Alexa는 인터넷에서 가장 많이 방문한 웹 사이트를 정렬합니다. 그러나 이러한 웹사이트의 소스 코드는 제공하지 않습니다. 따라서 이 연구에서는 제한된 수(500개)의 웹사이트에서 작동하는 연구[122]를 제외하고 Chrome Debugging Protocol을 사용하여 브라우저를 계측하고 웹사이트에서 필요한 정보를 수집했습니다.

또한 [116]의 연구에서는 알려지고 자주 업데이트되는 블랙리스트[106], [107], [136]를 사용하여 교육 데이터 세트에 대한 실측을 구축한 다음 Alexa 상위 100만 개 웹 사이트를 사용하여 분석을 수행했습니다. Alexa 상위 웹 사이트 외에도 [97]의 연구에서는 VirusTotal에서 얻은 크립토재킹 데이터 세트를 사용했습니다. 그들은 2018년에 등록된 1500개의 활성 Windows PE32(Windows Portable Executable) 암호화폐 마이닝 멀웨어 샘플을 수집하고 Cuckoo Sandbox[137]를 사용하여 해당 샘플에 대한 자세한 행동 보고서를 얻었습니다.

또한, [114], [115], [118], [132]의 연구는 합법적인 마이닝 스크립트를 설치하여 분석을 수행했으며, [117], [121]의 연구는 웹 사이트에 수동으로 마이너를 주입하여 테스트를 수행했습니다. 탐지 메커니즘을 test하기 위해서

Platform.

문헌 [112], [113], [115]–[119], [121], [122], [132], [138]에 있는 대부분의 크립토재킹 탐지 메커니즘은 브라우저 내 크립토재킹 탐지를 위해 제안되었습니다. 멀웨어. 호스트 기반 크립토재킹 악성코드에 대해 제안된 연구 [97], [128]는 몇 개뿐입니다. 또한 Conti et al. [132]는 호스트 기반 및 브라우저 내 크립토재킹 악성코드를 모두 탐지하는 데 사용할 수 있는 하드웨어 수준 탐지 메커니즘을 제안합니다.

Analysis Features.

표 1에서 볼 수 있듯이 크립토재킹 영역에서 제안하는 탐지 방법의 대부분은 동적 분석을 사용하고 있다. 그 주된 이유는 마이닝 스크립트가 일련의 알려진 지침을 사용하고 미리 정의된 마이닝 단계를 따르고 반복하기 때문입니다. 예를 들어, 광부는 암호화 해시 라이브러리를 사용하고 정적 변수(즉, nonce) 값을 반복적으로 증가시키거나 일부 알려진 서비스 제공업체에 연결하여 일부 출력 결과를 계속 업로드하고 새 작업을 수신합니다.

크립토재킹 악성코드의 이러한 일반적인 동작은 패턴을 생성하고 동적 분석을 통해 탐지할 수 있도록 합니다. 문헌에서 opcode[97] 및 WebAssembly(Wasm) 명령어[112]와 같은 정적 기능을 사용하는 연구는 소수에 불과합니다. WebAssembly[139]는 프로그램이 기계 수준 언어에 더 가깝게 실행되고 스택 기반 가상 머신[140]을 통해 더 높은 성능을 제공할 수 있도록 하는 저수준 명령 형식입니다. 이 저수준 명령 모델은 WebAssembly가 코드를 보다 효율적으로 실행할 수 있도록 하며 크립토재킹 스크립트가 코드 실행 프로세스로 인한 지연을 대부분 제거하기 때문에 이 기능은 더 많은 이익을 제공합니다. 현재 시장의 모든 주요 브라우저는 WebAssembly를 지원합니다.

Opcode는 수행할 작업을 지정하고 시스템 호출에서 사용하는 기계어 명령어입니다. [97]에서 제안하는 탐지 시스템은 IDA Pro를 사용하여 opcode를 추출하는 정적 분석을 위해 opcode를 사용합니다. 크립토재킹 예제에서 opcode는 마이닝 스크립트와 운영 체제 커널 간의 요청에 중점을 둡니다. 이 방법을 사용하면 Random Forest 분류기로 95%의 정확도를 달성합니다.

한편, dynamic features 을 이용한 많은 검출 메커니즘이 제안되었다[113], [115]-[119], [121], [132], [138]. 이 연구에서 가장 일반적으로 사용되는 dynamic features은 다음과 같습니다.

1. CPU Events [113], [115]–[117], [123], [124], [130], [133]–[135], [138]: CPU 이벤트는 동적 분석 기반 기능 중에서 가장 일반적으로 사용되는 기능입니다. 브라우저 내 크립토재킹 스크립트가 사용된 하드웨어와 상관없이 채굴을 수행하기 위해 CPU 명령을 가져와야 하기 때문에 탐지 메커니즘이 필요합니다. 브라우저 내 동작이 암호화 라이브러리를 너무 자주 사용하는 경우(일반 웹사이트에서는 비정상적) CPU 명령으로 직접 감지할 수 있습니다. CPU는 암호화폐 채굴의 가장 중요한 기능이지만, 플래시 게임이나 온라인 렌더링 웹사이트도 운영에 시스템의 CPU를 많이 사용하기 때문에 CPU 이벤트만 기능으로 사용하면 높은 FPR(오탐지율)이 발생할 수 있습니다. FPR을 가능한 한 낮게 유지하기 위해 대부분의 탐지 방법은 둘 이상의 feature을 동시에 사용합니다 [112], [113], [115], [117], [123], [124], [134], [135]

2. Memory activities [113], [115], [117], [132]: 메모리 활동은 표 1에 나열된 동적 감지 방법 중 일반적으로 사용되는 또 다른 기능입니다.

3. Network Package [113]–[115], [117], [118], [128]: 네트워크 패키지는 계산된 해시 값을 서비스 제공자. 연구 [113]–[115], [117]는 메모리 및 CPU 관련 기능과 같은 다른 기능과 함께 네트워크 트래픽 속도를 추가 기능으로 활용했습니다. 반면 [118], [128]의 연구에서는 크립토재킹 악성코드 탐지를 위해 네트워크 패키지만을 사용하였다. 특히, Neto et al. [118] 네트워크 흐름을 기능으로 사용하는 반면 Caprolu et al. 탐지 알고리즘의 특징으로 도착간 시간과 패킷 크기를 사용합니다.

4. JS compilation and execution time [116], [124]에서 JS 엔진 실행 시간과 JS 컴파일 시간이 크립토재킹 악성코드의 영향을 크게 받는 것으로 나타났습니다. 그러나 온라인 게임 및 기타 온라인 렌더링 플랫폼도 동일한 동작을 유발하여 탐지 메커니즘에서 오탐을 유발할 수 있습니다. 따라서 [116]의 연구에서도 CPU 사용량, 가비지 수집기 및 iframe 리소스 로드를 2차 기능으로 사용하여 보다 정확한 결과를 얻고 오탐지를 줄입니다.

가비지 수집기는 메모리 사용을 최적화하기 위한 JS 프로그래밍 언어의 기능으로, 메모리에서 불필요한 데이터를 삭제하고 메모리 과부하를 방지합니다. 메모리와 CPU는 마이닝 작업 중에 지속적으로 상호 작용하며 CPU는 계산된 데이터를 메모리로 보냅니다. 가비지 수집기는 계산된 모든 해시 값을 서비스 제공자에게 보낸 후 하나씩 삭제합니다. 따라서 마이닝 프로세스로 인해 가비지 수집기가 불규칙하게 사용됩니다. 이 동작으로 인해 가비지 수집기를 동적 감지 메커니즘의 기능으로 사용할 수 있습니다. Iframe은 HTML 소스 코드에 다른 프로그램/기능을 포함하는 데 사용되는 HTML 태그입니다. 마이닝 스크립트는 이러한 태그에 삽입되고 HTML 코드에서 작동합니다. 이전 기능과 유사하게 크립토재킹 스크립트는 iframe 리소스 로드에서 불규칙한 사용을 유발합니다. 이 기능은 너무 많은 최신 웹 응용 프로그램이 iframe 리소스를 불규칙적으로 사용하고 높은 오탐율을 유발할 수 있기 때문에 기본 기능으로 사용할 수 없습니다.

1. HPC(Hardware Performance Counter) 하드웨어 성능 카운터(HPC) [121], [124], [135]: HPC 값 [144]은 최신 컴퓨터의 CPU에서 사용되며 내부 CPU 이벤트(e.g., Cycles, Cache misses).의 기록을 유지합니다. CPU 클록 사이클과 실행된 명령어가 있는 레지스터 값은 실행 중인 애플리케이션의 동작에 대한 고유한 정보를 제공합니다. 여러 연구에서 시스템에서 암호화폐 채굴 작업을 감지하기 위해 HPC 값으로 하드웨어 활동 및 관련 응용 프로그램을 확인합니다.

2. System calls: 시스템 호출은 응용 프로그램과 실행 중인 시스템의 커널 간의 연결을 가능하게 하는 API 구조입니다. 시스템 호출은 OS 커널에서 호출을 호출하고 서비스를 요청하기 위해 레벨 0 권한으로 실행됩니다. [97]에서 제안한 탐지 시스템은 동적 분석을 위한 시스템 호출을 사용하며, 시스템 호출은 쿠쿠 샌드박스를 사용하여 녹음된다. 그런 다음 시스템 호출을 사용하여 딥 러닝 모델을 훈련하고 99% 정확도를 달성합니다.

Classifier and Performance

수집된 기능은 주로 SVM(Support Vector Machine) [113], [116], [132], Random Forest [121], [132], Neural Network [97], [117]와 같은 다양한 기계 학습 분류기를 훈련하는 데 사용됩니다. ], 의사 결정 트리 [114]. 또한 Neto et al.[118] 는 증분 학습 프로세스의 기능으로 분류기 앙상블의 분류 확률을 취하는 증분 학습의 사용을 제안했습니다.

또한, Hong et al. [119]는 임계값 기반 탐지를 제안했으며 [112], [122]의 연구에서는 스크립트의 특정 기능을 탐지하기 위해 정적 매칭 방법을 사용했습니다. Musch et al. [120] Top 1M Alexa 웹사이트에서 탐지된 웹사이트의 수만 보고합니다. 표 1에서 볼 수 있듯이 모든 분류기는 거의 완벽한(100%) 탐지 결과를 달성합니다.

Open Source Implementations

마지막으로 일부 연구 [112], [116], [119], [122], [145]는 연구 커뮤니티를 돕기 위해 코드를 발표했습니다. 표 3은 오픈 소스 크립토재킹 악성코드 구현 목록을 나타냅니다.

Cryptojacking Prevention Studies

대부분의 탐지 메커니즘은 크립토재킹 맬웨어를 방지하거나 차단하는 데 중점을 두지 않습니다. 그러나 크립토재킹 악성코드의 탐지 및 예방에 초점을 맞춘 여러 연구가 [123], [130], [131] 남아 있습니다. 진행 중인 크립토재킹을 탐지하기 위해 동적 기능을 사용하는 것은 다른 동적 분석 연구와 비슷하지만 예방 방법은 다양합니다. 반면 Yulianto et al. [130] 알림만 발생시킵니다, Bian et al. [123] mining process를 sleep시킵니다, 그리고 Razali et al.는 관련 프로세스를 직접 종료합니다.

크립토재킹 방지를 위해 시장에 여러 도구가 있습니다. 호스트 기반 크립토재킹 멀웨어에 대해 독점 안티바이러스 프로그램 [110], [157]이 일반적으로 선호됩니다. 브라우저 내 크립토재킹 악성코드에 대항하여 No-Coin[106] 및 MinerBlock[107]과 같은 오픈 소스 브라우저 확장이 널리 사용됩니다. 이러한 오픈 소스 브라우저 확장은 새로운 악성 도메인이 발견되면 목록이 업데이트되는 블랙리스트를 기반으로 합니다. 표 2는 조사 중에 식별한 공개적으로 사용 가능한 블랙리스트 목록을 보여줍니다. 브라우저 확장은 사용자가 블랙리스트에 있는 웹사이트에 액세스하려고 할 때 사용자에게 경고합니다. 그림 4는 연속 루프로 반복되는 블랙리스트 프로세스를 보여줍니다.

순수한 블랙리스트 기반 방지는 크립토재킹 맬웨어를 차단하는 효율적인 방법이 아닙니다. 공격자가 도메인 플럭싱 또는 기타 방법으로 도메인을 쉽게 변경하여 블랙리스트의 효과를 하향 이동시킬 수 있기 때문입니다. 더 우수하고 최적화된 블랙리스트 작성을 위해 연구원들이 제안한 몇 가지 새로운 방법[158]이 있지만 동적 블랙리스트 방법조차도 도메인 플럭싱 방법에 대해 완전히 효과적이지도 [159] 보호되지 않습니다.

Cryptojacking Analysis Studies

크립토재킹 맬웨어 탐지 및 예방 연구 외에도 일부 연구원은 크립토재킹 위협 환경을 더 잘 이해하기 위해 실증적 측정 연구를 수행했습니다. 표 4는 문헌의 크립토재킹 멀웨어 분석 연구를 보여줍니다. 이 연구에서 크립토마이너는 바이너리 [46], [146], [149], [156] 또는 스크립트 [74], [143], [147], [150]–[152], [ 154], [155] [148], [153]을 제외하고 이러한 연구의 결과가 다른 연구 및 공개적으로 사용 가능한 문서를 기반으로 합니다.

연구원들은 크립토재킹에 대한 다양한 관점을 분석했습니다. 첫 번째 연구[146]에서 저자는 범위, 작업 및 수익을 특성화하기 위해 마이닝 작업에 관련된 것으로 식별된 바이너리 샘플을 분석합니다. 이것은 다른 연구에서 사용된 샘플이 모네로를 채굴하는 비트코인 채굴자를 분석한 최초이자 유일한 연구입니다. 2017년 크립토재킹 악성코드 공격 사례의 증가도 연구자들의 관심을 끌었다. [147]은 Monero 크립토재킹 샘플을 분석한 첫 번째 연구로, 저자는 크립토재킹 샘플의 보급 분석을 위해 coinhive.min.js 라이브러리를 사용하는 30000개 이상의 웹사이트를 사용했습니다. 많은 후속 연구가 발표됩니다. 예를 들어, 연구 [151], [154], [156] 또한 샘플의 특성을 식별하기 위해 크립토재킹 샘플의 분석을 수행했습니다. 또한 [143], [149]의 연구에서는 영향분석을 수행하였다. 특히, [149]는 소비자 기기 및 사용자 성가심에 대한 공격 영향을 분석하고, [143]은 크립토재킹 멀웨어가 웹 사용자에 미치는 영향을 분석하고, [152]는 크립토재킹 샘플의 오버헤드를 분석했습니다. 흥미로운 연구에서 [15]의 저자는 실제로 140만 개의 감염된 라우터에 영향을 미치는 크립토마이닝을 위해 인터넷 인프라를 악용하는 새로운 유형의 공격을 조사했습니다.

또한 [46], [150], [152]와 같은 크립토재킹 샘플에 대한 경제적 분석을 수행하는 연구도 있습니다. 그 외에 [46], [74]의 저자들은 크립토재킹 샘플에 대한 캠페인 분석을 수행했으며 [155]는 Coinhive 중단 이후 크립토재킹 위협의 활성도를 분석했습니다. 마지막으로 [148]은 사이버 범죄자가 크립토마이닝을 악용하는 방법에 대한 개요를 제공하고 [153]은 비즈니스 모델, 위협 소스, 영향, 완화, 합법성 및 크립토재킹 악성코드 윤리에 대한 검토를 제공합니다.

Lessons Learned and Research Directions

이 섹션에서는 우리가 연구 중에 배운 교훈과 다른 연구자가 추가로 탐색할 수 있는 잠재적 연구 방향을 다룹니다.

A recent trend in cryptojacking attacks

2020년에 발표된 일부 보안 보고서[16], [82]는 브라우저 내 크립토재킹 공격에서처럼 공격자가 이제 개인용 컴퓨터보다 더 많은 처리 능력을 가진 장치를 목표로 하는 크립토재킹 공격의 경향을 지적했습니다. 이를 통해 공격자의 목표는 더 짧은 시간에 더 많은 수익을 얻는 것입니다. 이러한 대상 장치의 몇 가지 예는 엔터프라이즈 클라우드 인프라[19], [160], 서버[161], 부적절하게 보호되는 다수의 IoT 장치[18] 또는 Docker 엔진[83]입니다. 이러한 공격에서 공격자는 Coinhive의 스크립트를 사용할 뿐만 아니라 XMRig라는 악성이 아닌 오픈 소스 Monero 채굴기를 수정하여 백그라운드에서 크립토마이닝을 수행합니다[162]. 브라우저 내 크립토마이너와 달리 클라이언트는 공격자에게 오지 않습니다. 따라서 공격자는 악성 마이닝 스크립트를 피해자에게 전달해야 합니다. 이를 위해 공격자들은 Mikrotik 라우터[23] 또는 최근 CVE에서 Monero 크립토마이너[22], 잘못 구성된 IoT 장치[18] 또는 취약한 보안[83]의 경우와 같은 취약점을 사용했습니다. 또한 내부자가 서버를 이용하기를 원할 수도 있습니다[9].

그러나 active service provider의 브라우저 내 샘플 수가 감소하고 공격자의 행동이 호스트 기반 크립토재킹 멀웨어 및 멀웨어를 전달하는 데 사용되는 기술로의 잠재적인 추세 변화에도 불구하고 호스트 기반 크립토재킹 멀웨어 문헌은 그렇지 않습니다. 브라우저 내 크립토재킹 멀웨어 문헌만큼 풍부합니다. 표 1과 4에서 알 수 있듯이 검출 [88], [97], [128], [132]-[135] 및 분석 [46], [146], [149]에 대한 연구는 몇 개뿐이다. ], [156]. 따라서 지속적으로 진화하는 이러한 위협을 탐지하고 완화하기 위한 더 나은 솔루션을 찾기 위해 보안 연구원의 더 많은 노력이 필요합니다.

Monero as a target cryptocurrency

최근 공격에서 Monero는 크립토재킹 공격에 대한 사실상의 암호화폐가 되었습니다. 우리가 발견한 또 다른 패턴은 이전 섹션 [7], [20], [49], [83], [84], [160], [163]의 거의 모든 공격 사례에서 공격자가 Monero를 다음과 같이 사용한다는 것입니다. 비트코인이나 다른 암호화폐 대신 대상 암호화폐. 우리는 그들의 동기에 대해 확신하지 못하지만 Monero는 거래의 흔적을 숨기는 가장 인기있는 개인 정보 보호 코인입니다. 예를 들어 공격자가 비트코인을 사용한다면 오랜 시간이 지난 후 공격이 탐지되더라도 비트코인 거래를 추적할 수 있을 것이다.

The evaluation of the proposed solutions

우리는 문헌에서 제안된 솔루션의 평가와 관련하여 세 가지 문제를 확인했습니다.

1. Dataset dates. 브라우저 내 크립토재킹 맬웨어 탐지 메커니즘의 효율성은 탐지된 웹사이트의 수와 직접적인 관련이 있습니다. 그러나 감염된 웹 사이트는 블랙리스트에 포함되지 않도록 스크립트를 자주 수정하거나 다른 도메인으로 이동합니다. 게다가 많은 웹사이트가 코인하이브 폐쇄 이후 채굴을 중단했습니다[164]. 따라서 데이터 세트가 언제 수집되었는지에 따라 탐지 방법의 정확도가 크게 달라질 수 있습니다. 표 1에서 제안된 탐지 메커니즘 [112], [116], [119], [122], [143] 중 5개만 데이터 세트 날짜를 보고합니다. 따라서 우리는 대부분의 연구 데이터 세트 수집 날짜를 모릅니다. 공정한 비교를 어렵게 만듭니다.

2. Online vs Offline detection. 문헌에서 제안된 탐지 메커니즘은 일반적으로 평가 지표로서의 정확성에 중점을 두고 있으며 대부분 크립토재킹 악성코드 탐지에 있어 거의 완벽한 정확성을 주장합니다. 그러나 대부분의 경우 방법이 어떻게 구현되었는지, 즉 오프라인인지 온라인인지는 보고하지 않습니다. 오프라인 탐지에서는 샘플이 무작위로 탐지되어 데이터베이스(예: 서명, 블랙리스트)에 추가됩니다. 온라인 검출에서는 샘플을 실시간으로 검출합니다. 탐지율이 온라인과 오프라인 탐지에 따라 다를 수 있음이 보여졌기 때문에[165], 제안된 방법이 온라인 또는 오프라인 환경에서 구현되는지 여부를 보고하는 탐지 연구가 중요합니다.

3. Overhead analysis 두 개의 제안된 동적 분석 도구 [112], [116]의 저자만이 최종 사용자 측에서 탐지 메커니즘의 유용성을 고려합니다. 그러나 특히 기계 학습 기반 탐지 방법의 경우 행동 기능을 사용하면 최종 사용자 측에서 높은 오버헤드가 발생할 수 있습니다. 이는 향후 연구에서 연구자들이 고려해야 할 사항입니다.

legitimate use of in-browser cryptocurrencyt mining (브라우저 내 암호화폐 채굴의 합법적인 사용.)

연구 중에 식별한 문제는 브라우저 내 암호화폐 마이닝이 처음에 새로운 게시자[166] 또는 UNICEF[167]와 같은 비영리 단체와 같은 합법적인 웹사이트 소유자에게 대체 수익을 제공하기 위해 시작되었다는 것입니다. 나중에 Coinimp[60], WebMinePool[68]과 같은 일부 서비스 제공업체는 구현 시 명시적인 사용자 동의를 위한 방법을 제공하기까지 했습니다. 그러나 브라우저 확장 [106], [107] 또는 브라우저 자체 [77], [168]와 같은 키워드 기반 자동 탐지 및 방지 방법으로 크립토마이닝 스크립트가 포함된 웹사이트를 차단하므로 웹 기반 크립토마이닝 스크립트의 사용은 더 이상 불가능합니다.

이 문제에 대한 실질적인 해결책은 마이닝 스크립트를 업로드하려는 웹사이트를 직접 차단하는 대신 사용자의 명시적인 동의를 요청하는 것입니다. 또한 사용자 동의와 지식을 기반으로 하는 합법적인 크립토마이닝을 자금 조달 모델로 활용하기 위해 연구원들의 더 많은 노력이 필요합니다.

The use of traditional malware attacks on Bitcoin and blockchain infrastructure. (비트코인 및 블록체인 인프라에 대한 전통적인 맬웨어 공격의 사용.)

야생에서 볼 수 있는 비트코인 및 블록체인 관련 악성코드에는 두 가지 유형이 있습니다. 또는 키 도용, 사회 공학 또는 가짜 애플리케이션 공격과 같은 전통적인 맬웨어 공격을 사용하여 비트코인 및 블록체인 사용자를 악용하는 공격입니다. 크립토재킹 공격은 비트코인과 블록체인 인프라를 사용하여 피해자의 계산 능력을 악용합니다. 그러나 비트코인과 블록체인 사용자는 많은 전통적인 맬웨어 공격에 노출되어 있습니다. 이러한 공격은 특히 소셜 엔지니어링 방법[169]–[171], 가짜 지갑[172], [173] 및 키 훔치기 트로이 목마 악성코드[174]–[176]를 통해 비트코인 및 블록체인 사용자의 개인 키를 획득하는 것을 목표로 합니다. 이러한 공격과 그에 대한 대응책[177]–[179]은 문헌[180]에서 광범위하게 연구되었지만 비트코인 및 블록체인 영역에 대한 영향은 아직 조사되지 않았으며 새로운 연구 방향으로 이어질 수 있습니다.

Conclusion

• 암호화폐의 급속한 부상은 공격자들에게 수익성 있는 블록체인과 비트코인 생태계에 대한 인센티브를 제공했습니다.
• 서비스 제공업체(예: Coinhive[8] 및 CryptoLoot[4])와 추적할 수 없는 암호화폐(예: Monero)에서 즉시 사용할 수 있는 채굴 스크립트를 제공함으로써 크립토재킹 멀웨어는 해커에게 필수적인 도구가 되었습니다.
• 시장에 mitigation 기술이 부족하여 문헌에서 제안된 많은 크립토재킹 맬웨어 탐지 연구가 이루어졌습니다.
• 이 문서에서 우리는 먼저 크립토재킹 악성코드 유형과 이들이 어떻게 체계적으로 작동하는지 설명했습니다.
• 이어 기존 연구논문을 기반으로 크립토재킹 악성코드가 사용하는 기법과 크립토재킹 샘플, 주요 공격 사례를 제시했다.
• 특히 크립토재킹 악성코드의 출처, 감염 방법, 피해자 플랫폼 유형, 대상 암호화폐, 회피 및 크립토재킹 악성코드가 사용하는 난독화 기법을 제시했습니다.
• 또한 기존의 탐지 및 예방 연구와 문헌의 크립토재킹 분석 연구에 대해 자세히 검토했습니다. 마지막으로 우리는 배운 교훈을 제시하고 몇 가지 유망한 새로운 연구 방향을 언급했습니다.
• 그렇게 함으로써, 이 SoK 연구는 새로운 크립토재킹 맬웨어와 관련 탐지 및 방지 메커니즘에 대한 깊은 이해를 촉진할 뿐만 아니라 커뮤니티에서 적절한 완화를 제공하는 데 필요한 상당한 추가 연구 작업을 촉진할 것입니다.