핵심 개념
웹어셈블리 난독화 기술을 활용하여 암호화폐 채굴 탐지를 효과적으로 회피할 수 있다.
초록
이 논문은 웹어셈블리 코드 난독화 기술의 효과성, 탐지 회피 능력, 그리고 성능 오버헤드를 종합적으로 평가한다.
주요 내용은 다음과 같다:
- 효과성 평가:
- 다양한 난독화 기술을 적용하여 웹어셈블리 바이너리를 변형하고, 이에 따른 네이티브 코드의 변화를 분석
- 동적 시간 워핑(DTW) 알고리즘을 사용하여 원본 코드와 난독화된 코드 간 유사도 측정
- 탐지 회피 능력 평가:
- 최신 암호화폐 채굴 탐지 기법(MINOS, WASim, MinerRay, VirusTotal)을 대상으로 난독화된 바이너리에 대한 탐지 성능 측정
- 정밀도, 재현율, F1 점수를 통해 탐지 회피 효과 분석
- 성능 오버헤드 평가:
- 난독화로 인한 바이너리 크기 증가와 암호화폐 채굴 성능 저하 정도 측정
- 실제 암호화폐 채굴 환경에서 해시 레이트 변화 측정
이를 통해 웹어셈블리 난독화가 암호화폐 채굴 탐지를 효과적으로 회피할 수 있음을 입증하였다. 또한 성능 오버헤드를 최소화하는 방법을 제시하였다.
통계
웹어셈블리 바이너리 크기가 평균 10.2배 증가했다.
Liftoff 컴파일러로 생성된 네이티브 코드 크기가 평균 26.5% 증가했다.
TurboFan 컴파일러로 생성된 네이티브 코드 크기가 평균 30.1% 감소했다.
인용구
"웹어셈블리의 지속적인 채택은 새로운 보안 문제를 야기했다. 그중 하나가 암호화폐 채굴(cryptojacking)이다."
"Tigress가 가장 효과적인 난독화 도구로 나타났으며, emcc-obf와 wasm-mutate가 그 뒤를 이었다."
"난독화를 통해 최신 암호화폐 채굴 탐지기를 성공적으로 회피할 수 있었다."