继USENIX Security 2018之后，同盾移动安全研究院再次走上国际顶尖网络安全学术会议的演讲台。近日在加拿大多伦多召开的ACM Conference on Computer & Communications Security (ACM CCS) 2018会议上，同盾移动安全研究院首席科学家杨珉教授团队发表了关于网页挖矿的系统性研究论文：How You Get Shot in the Back: A Systematical Study about Cryptojacking in the Real World 引起业界高度关注。

ACM CCS，与IEEE S&P、Usenix Security和NDSS并称计算机安全领域“四大安全顶级会议”，每年都有来自国内外顶级高校以及研究机构的众多研究人员投稿和参会。本次会议共接收到来自全世界高校和研究机构的809篇论文，经过三轮筛选，录用134篇，录取率仅为16.6%。

（研究团队在会议现场合影）

杨教授团队在论文中指出：随着17年年末比特币等数字加密货币价格的全线上涨，比特币、莱特币、门罗币等加密货币逐渐走入人们的视野之中。利益驱使着黑客们把目光从正规渠道挖矿转向盗取他人计算资源挖矿。近来，互联网上有用户、媒体反映其在访问一些网站的时，电脑会变得十分卡顿，甚至完全卡死[1,2,3,4,5]。经杨教授团队研究后发现，该情况是由于一些不法分子在Web服务器上部署挖矿脚本进行挖矿造成的。在Web服务器上部署挖矿脚本的危害是巨大的，轻则会使用户在毫无防备的情况下电脑变慢、卡顿、直至死机，重则还有可能由于长时间的CPU高负荷运转导致用户的硬件受损。

Web端挖矿形势愈演愈烈，在用户看到的“网页变慢、系统卡顿”的背后，是整个Web端挖矿在作祟。目前，恶意挖矿行为也从一开始最原始的暴力挖矿逐渐向更复杂形态发展。恶意挖矿行为主要采用“降低挖矿速度”、“代码混淆”等方式进行对抗。以“降低挖矿速度”为例，目前大多数恶意挖矿代码都并非最早先耗尽用户所有资源的形式，而是只利用用户部分的资源进行挖矿行为，降低引起用户注意的可能性。 目前业界对于Web端挖矿防御大部分是基于黑名单的。但是根据杨教授团队的研究结果指出黑名单只能防范不到一半的恶意挖矿网站。为了提高挖矿行为的检出率，杨教授团队针对网页挖矿的行为特点，提出了基于动态监控程序执行的调用栈的恶意挖矿行为检测技术，切实有效的提高了挖矿行为的检出率。

此外，杨教授团队针对整个Web端挖矿的生态环境进行了系统性的研究。根据他们的研究，在Alexa前10万的网页中存在着868个网站在用户不知情的情况下进行挖矿。而这一行为在一个月之内影响着大约1千万的用户量，并且每个月为攻击者提供了170万美元的收入。而这一行为每天耗电量约等于5万个普通中国家庭消耗的电能，挖矿行为的危害形势严峻可见一斑。

同盾移动安全研究院专注于国际范围内主流移动操作系统、移动互联网应用以及物联网设备的前沿安全攻防技术研究和安全产品预研。浏览器安全和特性研究是同盾移动研究院的一个重要领域。团队研发的Web/H5/小程序设备指纹、代码混淆保护和验证码产品，守护着超过1万家客户的业务安全，已经成为互联网安全的基石。