Cryptic Bytes: WebAssembly Obfuscation for Evading Cryptojacking Detection

WebAssembly已成为Web及其他领域高性能、安全和可移植编译目标的重要选择。然而，它的广泛应用也带来了新的安全挑战。其中一个威胁是加密货币挖矿，即网站在访问者设备上挖掘加密货币，而访问者并不知情或未经同意，通常通过WebAssembly实现。虽然已经提出了一些检测方法，但绕过这些方法的研究仍然有限。本文提出了迄今为止对WebAssembly代码混淆技术最全面的评估，评估了它们在多个抽象层面上的有效性、可检测性和开销。我们使用Tigress、wasm-mutate等最先进的混淆工具以及我们的新工具emcc-obf，对包括实用程序、游戏和加密货币挖矿器在内的各种应用程序进行混淆。我们的发现表明，混淆可以有效地生成不同的WebAssembly二进制文件，其中Tigress的效果最好，其次是emcc-obf和wasm-mutate。对生成的本地代码的影响也很显著，尽管V8引擎的TurboFan优化器平均可以将本地代码大小减少30%。值得注意的是，我们发现混淆可以成功地规避最先进的加密货币挖掘检测器。虽然混淆可能会引入相当大的性能开销，但我们演示了如何通过策略性地应用转换，在现实场景中以最小的开销规避检测。这些洞见对于研究人员来说非常有价值，为开发更强大的检测方法提供了基础。此外，我们公开了包括20000多个混淆的WebAssembly二进制文件和emcc-obf工具的数据集，以刺激进一步的研究。

本文旨在评估WebAssembly代码混淆技术的有效性、可检测性和开销，并探讨如何使用混淆技术来对抗加密货币挖矿等WebAssembly引发的安全威胁。

本文使用Tigress、wasm-mutate和emcc-obf等现有工具以及自己开发的工具emcc-obf对一系列应用程序进行混淆，并评估其效果和开销。结果表明，混淆可以有效地生成不同的WebAssembly二进制文件，并且可以成功逃避最先进的加密货币挖掘检测器。

本文的亮点包括：1. 对WebAssembly代码混淆技术进行了全面评估；2. 提出了一种新的混淆工具emcc-obf；3. 混淆可以成功逃避最先进的加密货币挖掘检测器；4. 提供了一个包含超过20,000个混淆WebAssembly二进制文件的数据集和emcc-obf工具的开源代码。

最近在这个领域中，还有一些相关的研究，如《WebAssembly: A New World of Native Web Development》、《WebAssembly: A Security Analysis》、《WebAssembly and Its Implications for Privacy and Security》等。