크립토마이너 해부: 크립토마이닝의 내부 구조

2013년, 한 비디오 게임 회사가 고객들의 머신을 악용해 비트코인을 마이닝한 혐의를 받은 이후로 크립토마이너는 전 세계에 영향을 미치고 있습니다. 10년 넘게 지난 지금, 이 위협은 엄청난 규모로 성장했고, 크립토마이너는 이제 전 세계 사이버 범죄의 중요한 부분을 차지하고 있습니다.

2017년의 WannaMine 봇넷부터 최근 Redis를 대상으로 한 Migo 캠페인, 클라우드 전용 및 브라우저 마이닝 스크립트의 변종에 이르기까지 수년 동안 크립토마이너에 관한 많은 사례 연구가 발표되었습니다. 최근 몇 년 동안 Akamai에서도 Panchan, NoaBot과 같은 암호화폐 마이닝 봇넷을 몇 개 발견했습니다.

암호화폐 마이닝 환경에 큰 영향을 미칠 것으로 예상되는 또 다른 트렌드는 최근 생성형 AI의 부상입니다. AI 연산은 그래픽 처리 장치(GPU)에 크게 의존하기 때문에, 이러한 구성요소는 기업 네트워크와 서버에서 점점 더 보편화되고 있습니다. 많은 마이닝 알고리즘이 GPU용으로 설계되었기 때문에 AI 업계의 기본 컴퓨팅 인프라는 크립토마이너 운영자에게 매우 매력적입니다.

아마도 머지않아 모델 상호작용이나 훈련 과정을 통해(또는 둘 다를 통해) AI 인프라를 직접적으로 겨냥하는 캠페인을 목격하게 될 것입니다.

공격자들은 주로 다음 2가지 이유로 크립토마이너를 이용합니다.

1. 금전 
2. 프라이버시 

국가가 후원하는 공격자와 핵티비즘을 제외한 대부분의 사이버 범죄는 금전적 동기를 가지고 있습니다. 크립토마이너는 랜섬웨어 강탈이나 민감한 데이터 판매와 같은 추가 단계 없이 네트워크에 대한 공격자의 통제권을 자본으로 전환하지 않고 침입으로 인한 수익을 창출하는 간단하고 직접적인 방법입니다. 따라서 암호화폐 마이닝 멀웨어는 공격자에게 매력적인 수익 창출 수단이 됩니다.

공격자들이 고려하는 다른 요소로는 암호화폐 가치와 마이닝 점유율이 있습니다. 예를 들어, 공격자가 1년에 미화 1센트를 벌 수 있다면 체포될 리스크를 감수할 만한 가치가 없습니다. 따라서 공격자의 목표 중 하나는 노력과 이익 사이의 균형을 찾는 것이며, 이를 통해 공격자가 마이닝할 수 있는 잠재적인 코인의 목록을 줄일 수 있습니다.

Akamai는 리서치 과정에서, 적어도 2018년 6월부터 활동 중인 것으로 보이는 공격자를 확인했으며, 이 공격자는 매년 평균 300 XMR의 매출을 올릴 수 있었습니다. 현재 Monero의 가치(1 XMR $150)에 따라 이 공격자의 매출을 계산해 보면, 약 미화 4만 5000달러를 벌어들인 것으로 나타났습니다. 이것은 2024년 미국에서 직원이 없는 소규모 기업의 평균 매출입니다.

프라이버시는 대부분의 암호화폐에 내재되어 있습니다. 암호화폐는 지갑 주소 역할을 하는 공개 키와 쌍을 이루는 비밀 키를 통해 프라이버시와 소유권을 유지하는 암호화 알고리즘을 사용합니다. 공격자는 거래 금액, 발신자 주소, 수신자 주소를 숨기도록 설계된 추가적인 프라이버시 알고리즘과 함께 암호화폐의 이러한 내재된 기능을 활용함으로써 자신의 활동을 거의 완벽하게 숨길 수 있습니다.

앞서 언급했듯이, 공격자들은 특정 암호화폐를 마이닝하기 위해 봇넷을 이동할 때 여러 가지 장단점을 고려합니다. 이러한 장단점 중 하나는 공격자의 이익과 관련된 프라이버시입니다. 프라이버시 수준이 낮은 코인이 더 많은 매출을 낼 수 있기 때문입니다. 코인의 프라이버시 수준은 다음 3가지 측면에서 제공되는 익명성을 통해 측정됩니다.

1. 네트워크와의 통신: Tor 또는 I2P 같은 코인은 프라이버시 네트워크 프로토콜에 의존

2. 추적 방지를 위해 지갑 주소, 금액 등의 거래 정보를 보호하고 계정 잔액을 숨김

3. 프라이버시를 지원하는 거래소 플랫폼에 암호화폐 등록

예를 들어, 비트코인은 거래의 프라이버시 기능이 부족해 사용자를 모니터링에 취약하게 만들고 탈익명화 리스크를 증가시킵니다. 이러한 제한은 공격자가 악용할 수 있는 암호화폐의 범위를 제한합니다. 결과적으로, 수익성이 있는 프라이버시에 중점을 둔 코인이 존재하는 한 공격자들은 계속해서 동기를 부여받게 됩니다.

그러나 프라이버시 코인이 수익성이 떨어지거나 ‘지분 증명’(아래에서 자세히 설명)처럼 마이닝 프로세스가 변경되어 공격자가 리소스 집약적인 방법을 통해 쉽게 수익을 창출할 수 없게 되면, 이러한 동기는 약해질 수 있습니다.

동기가 부여된 공격자는 이러한 크립토마이너 캠페인을 어떻게 실행할지 고려해야 하며, 이를 위해서는 마이닝 과정의 기본 원리를 이해하는 것이 중요합니다. 다음 섹션에서 마이닝 과정을 개괄적으로 살펴보고 공격자가 어디에 주의를 기울이는지 이해하면 더 나은 추적 및 탐지 기술을 개발하는 데 도움이 될 것입니다.

암호화폐는 암호화 기술을 활용해 거래를 보호하고 새로운 단위(코인 또는 토큰)의 생성을 제어하는 디지털 형태의 통화입니다. 기존 화폐(법정 화폐라고도 함)와 달리, 암호화폐는 노드 네트워크가 유지 관리하는 분산형 원장 시스템인 블록체인 기술을 사용하는 탈중앙화된 네트워크에서 작동합니다.

블록체인의 각 거래는 블록에 기록되고 이전 거래와 연결되어 변경할 수 없는 기록 체인을 생성합니다. 이 체인은 네트워크의 계산 능력을 대부분 제어하지 않고는 변경이 거의 불가능합니다. 이러한 탈중앙화된 특성은 은행과 같은 중개자의 필요성을 없애고 향상된 보안과 투명성을 제공합니다.

암호화폐 시스템의 필수 구성요소 중 하나는 사용자가 블록체인에서 자산을 거래할 수 있게 해 주는 일련의 암호화 비밀번호인 지갑입니다. 지갑은 주소라고 불리는 특정 형식의 문자열로 표시됩니다. 이러한 주소 간의 거래는 블록체인에 공개적으로 기록되지만 추가 정보가 주소에 연결되지 않는 한 참여자의 신원은 숨겨진 상태로 유지됩니다.

Monero나 Zcash와 같은 프라이버시 보호에 중점을 둔 암호화폐는 링 서명, 스텔스 주소, 영지식 증명과 같은 고급 암호화 기술을 구축해 발신자, 수신자, 금액을 포함한 거래 세부 정보를 숨깁니다. 이러한 기능은 제삼자가 특정 개인에게 거래를 추적하는 것을 어렵게 만들어 전통적인 금융 시스템보다 더 많은 프라이버시와 익명성을 제공합니다.

블록체인에 새로운 블록을 적용하려면 모두가 동의하는 근거가 있어야 합니다. 합의 알고리즘이라는 알고리즘 계열과 그 특수 변형을 사용하면 탈중앙화된 네트워크가 작동해 블록체인 거래를 검증할 수 있습니다. 이러한 알고리즘은 이중 지출을 방지하고, 원장의 무결성을 유지하고, 당사자 간 트러스트리스 거래를 가능하게 하도록 설계되었습니다.

암호화폐마다 다양한 합의 메커니즘을 사용하며 각 메커니즘은 보안, 확장성, 에너지 효율과 같은 요소를 균형 있게 조정하면서 합의를 달성하기 위한 고유한 접근 방식을 사용합니다.

가장 잘 알려진 합의 알고리즘은 비트코인과 여러 다른 암호화폐에서 사용되는 작업 증명(PoW)입니다. PoW에서는 마이너들이 복잡한 수학적 퍼즐을 풀기 위해 경쟁하는데, 이 과정에는 상당한 연산 능력이 필요합니다. 퍼즐을 가장 먼저 푸는 마이너는 블록체인에 새로운 블록을 추가할 수 있는 권한을 얻고 암호화폐로 보상을 받습니다.

이 과정은 에너지 집약적이지만 강력한 보안을 제공합니다. 블록체인을 변경하려면 공격자가 네트워크 컴퓨팅 파워의 50% 이상을 제어해야 하기 때문에 이러한 공격은 매우 비현실적입니다.

또 다른 인기 있는 합의 알고리즘은 지분 증명(PoS)으로, Ethereum 2.0, Cardano 등의 암호화폐에서 사용됩니다. PoS에서는 보유한 코인의 수와 지분을 기꺼이 내어놓을 의사가 있는 정도에 따라 새로운 블록을 생성할 검증자를 선택합니다.

이 접근 방식은 광범위한 컴퓨팅 리소스를 필요로 하지 않기 때문에 PoW보다 에너지 효율이 높습니다. 그러나 PoS는 네트워크에 더 많은 지분을 가진 사람들이 정직하게 행동할 동기가 더 많다고 가정합니다.

공격 기법이 리소스 탈취에 기반을 두고 있기 때문에 크립토마이너들은 PoW(또는 이 글에서 다루지 않는 ‘용량 증명’) 마이닝 알고리즘만을 사용합니다. 따라서 지금부터는 마이닝의 맥락에서 PoW를 고려하겠습니다.

합의 알고리즘을 계산하는 데 사용되는 하드웨어에는 다양한 종류가 있습니다. 중앙 처리 장치(CPU)는 어떤 합의 알고리즘이든 쉽게 계산할 수 있는 범용 집적 회로(IC)이지만, 때로는 효율적이지 않을 수 있습니다. 그래서 일부 알고리즘은 CPU보다 복잡한 산술을 더 효율적으로 처리할 수 있는 그래픽 처리 장치(GPU)용으로 설계됩니다.

마이너들이 사용하는 또 다른 종류의 하드웨어는 특정 작업을 수행하도록 최적화된 처리 장치인 특정 용도용 집적 회로(ASIC)와 필드 프로그래머블 게이트 어레이(FPGA)입니다. 이 2가지 모두 sha1 해싱 알고리즘 계산과 같은 결정론적 작업에 탁월하지만, 이전 반복 출력에 따라 달라지는 런타임 실행 중에 메모리 요구량이 많거나 가능한 분기 수가 많으면 실패합니다.

대부분의 암호화폐는 블록체인의 안전성과 신뢰성을 유지하기 위해 필요한 탈중앙화에 의존합니다. 네트워크 노드의 대부분을 통제하거나 해시레이트를 통해 주요 마이너가 되면 네트워크가 중앙화되고, 공격자는 51% 공격을 수행할 수 있습니다. 이를 방어하기 위해 많은 코인에서 ASIC 설계 및 생산을 금전적으로 덜 실행 가능하게 만드는 특수 해싱 알고리즘을 추가했습니다.

이 알고리즘은 CPU 최적화 기능과 함께 작동하도록 설계된 메모리 집약형 복합 알고리즘을 실행하기 위해 범용 프로세서를 사용하는 방식을 기반으로 합니다. 다시 말해, 이 알고리즘은 전용 ASIC의 생성을 불가능하게 만들기 위해 가능한 한 많은 최신 CPU 기능과 큰 메모리 주소 공간을 사용합니다. 본질적으로, 누군가 이러한 알고리즘을 위한 ASIC을 만들려고 한다면 완전한 CPU를 제작해야 합니다.

마이닝 과정은 대규모 복권과 같습니다. 모든 참가자는 블록 정보와 논스로 구성된 해결해야 할 과제를 받습니다. 마이너는 네트워크의 목표 난이도를 충족하는 논스를 찾아야 하는데, 이는 특정 시간 프레임에서 통계적으로 가능합니다. 이 시간을 목표 시간이라고 하며, 마이닝 속도를 안정적으로 유지하고 목표 시간 프레임 내에 있도록 미래 블록에 난도(d)를 설정함으로써 달성됩니다.

난도는 일반적으로 목표(t) 값을 만족하는 유효한 해시를 찾기 위해 얼마나 많은 해시를 계산해야 하는지를 나타냅니다. 목표 값은 모든 유효한 해시의 최댓값을 나타냅니다. Monero 코인이 난도를 계산하는 방법은 가능한 해시의 수를 목표로 나누어 계산하는 것입니다.

많은 코인이 자체 난도 계산 방식을 정의하고 있지만, 그 결과는 네트워크 해시레이트(fhashrate[hashs])를 제한해야 하기 때문에 비슷합니다. 이는 난도를 목표 시간으로 나누면 네트워크의 해시레이트를 구할 수 있음을 의미합니다.

예를 들어, t = 0x1F이고 t의 크기가 1바이트라면 난도는 0xFF0x1F = 8입니다. 즉, 무작위 논스의 해시 계산 8번마다 일치하는 값을 찾을 수 있다는 통계적 가능성이 있다는 의미입니다.

네트워크가 블록체인 성장률을 제어할 수 있는 목표 시간을 설정한 후, n 블록에 걸친 블록당 평균 시간을 구해 해시레이트를 구할 수 있습니다. 해시레이트를 사용해 다음 난도를 설정할 수 있습니다. 일부 코인의 경우, 이 값은 N개의 마지막 블록을 기준으로 블록마다 변경되는 반면, 다른 코인의 경우에는 일정한 수의 블록마다 변경됩니다.

비트코인은 블록체인 기술을 사용해 네트워크 거래를 기록하는 최초의 널리 사용되는 암호화폐입니다. 이러한 거래는 일반 텍스트로 저장되며, 누구나 블록체인 탐색기 서비스를 통해 공개적으로 접속할 수 있습니다(또는 원하는 경우 수동으로 접속 가능). 비트코인과 관련된 익명성은 다소 오해의 소지가 있습니다. 디지털 지갑을 사용하는 것은 실제로 익명이지만 제삼자와의 상호 작용은 익명이 아닙니다. 

예를 들어, 누군가 법정 화폐(미국 달러 등)를 비트코인으로 교환하고자 한다면 지갑을 공개해야 하는데, 이로 인해 신원이 지갑에 연결되어 익명성이 훼손될 수 있습니다. 신원을 숨기기 위해 우회 거래를 시도하는 것은 결국 같은 결과를 낳게 됩니다. 이러한 거래는 거래소 플랫폼을 통해 네트워크를 떠날 때까지 추적될 수 있기 때문입니다. 익명성은 자금이 네트워크에 입금되거나 인출되는 지점에서 가장 자주 발생합니다.

프라이버시 지향적 암호화폐가 등장한 것은 거래 정보의 오용을 방어하는 등 여러 정상적인 맥락에서 프라이버시의 필요성이 대두되었기 때문입니다. 그러나 프라이버시는 범죄 행위를 은폐하는 데 악용될 수도 있기 때문에 프라이버시 지향적 암호화폐는 크립토마이너와 기타 공격자들이 공통으로 요구하게 됩니다. 

오늘날, 프라이버시 지향적 코인은 송금인과 수취인 주소뿐 아니라 그들 사이에 거래된 금액까지 숨길 수 있습니다. 이러한 수준의 프라이버시는 불법적으로 취득한 자금이 관련된 거래를 네트워크 내에서 추적할 수 없게 만듭니다.

표 1은 이 글을 작성할 당시의 코인 수익성을 기준으로 정렬되어 있습니다. 이 리서치에서는 크립토마이너들이 사용하는 보다 일반적인 코인에 초점을 맞추고 실제 사용 사례(ITW) 샘플을 분석합니다. 현재 시장 가치와 보상률에 따라 코인 후보 목록을 다시 생성하기 위해 Akamai GitHub 리포지토리에 코드를 게시했습니다.

Akamai는 공격자의 동기와 암호화폐 블록체인의 기본 원리 그리고 마이닝 과정을 조사한 후 이 후보 테이블을 만들 수 있었습니다. 이제 정상적인 마이너와 악성 크립토마이너가 코인을 획득하기 위해 사용할 수 있는 3가지 코인과 마이닝 토폴로지를 좀 더 자세히 살펴보겠습니다.

• Monero는 공격자들이 사용하는 것으로 잘 알려져 있습니다.
• Zephyr는 유망한 것으로 보입니다.
• Safex는 공격자들이 간과할 수 있는 것으로 보입니다. 

Monero는 크립토마이너들이 가장 많이 사용하는 코인입니다. ASIC 저항성 RandomX 알고리즘을 기반으로 하는 프라이버시 지향적 코인이기 때문에 크립토마이너에게 최고의 선택입니다. Monero는 링 서명, 다중 비대칭 키, 방탄, RingCT 등의 고급 암호화 알고리즘을 사용해 첨단 프라이버시 기술을 달성합니다. 이러한 프라이버시 기술과 알고리즘에 대한 자세한 정보는 Moneropedia에서 확인할 수 있습니다.

Monero는 실제 거래와 함께 여러 개의 유효하지 않은 입력 거래를 결합해 거래에 사용된 입력과 전송된 금액을 숨기는 알고리즘인 RingCT를 구축합니다. 또한 여러 가지 기술을 사용해 거래 참여자만 읽을 수 있도록 값에 서명합니다. 발신자와 수신자의 신원은 암호화 방식으로 보호되므로 발신자, 수신자, 금액이라는 3가지 주요 요소를 통해 프라이버시를 달성합니다.

RandomX(따라서 Monero)를 ASIC에 저항하도록 만들기 위해, 자체적인 명령어 집합과 그것을 실행하는 가상머신(VM)을 정의합니다. 기존의 VM과 달리, 별도의 운영 체제를 참조하는 것이 아니라 사용자 지정 명령어 집합을 기본 하드웨어로 변환하는 일종의 인터프리터를 참조합니다.

Akamai의 리서치 대부분은 Monero에 초점을 맞추고 있으며 Monero 네트워크, 프로그램, 블록체인을 분석하는 데 사용하는 동일한 방법을 다른 암호화폐에도 적용할 수 있습니다.

이 프레임워크에서 ZEPH는 기준 통화로 사용되는 마이닝 가능한 코인입니다. ZRS는 스테이블코인인 ZSD의 준비금 역할을 합니다. 2024년, Zephyr는 유통되는 ZYS 토큰의 성장으로 이익을 창출하도록 설계된 메커니즘인 ZYS를 출시했습니다.

이는 ZSD와 관련해 ZYS의 가치가 지속적으로 증가한다는 것을 의미하며 사용자에게 스테이블코인의 성과와 연계된 잠재적으로 수익성 있는 투자를 제공합니다. 공격자는 마이닝 가능한 ZEPH 토큰을 사용하면서 다른 토큰의 트렌드를 고려해 이를 표적으로 할 인센티브로 삼을 것입니다.

현재 이 코인은 마이닝에 있어 수익성이 가장 낮은 코인이고, 따라서 크립토마이너들이 사용하기에 가장 덜 매력적입니다. 그럼에도 불구하고 Akamai는 Zephyr를 마이닝하는 멀웨어 샘플을 발견할 수 있었습니다. 공격자들이 왜 이 코인을 캠페인에 활용하는지는 추측해 볼 수 있습니다. 블록을 찾거나 Monero 전용 탐지 엔진을 피하는 데 더 큰 보상(7.896 ZEPH)이 될 수 있기 때문일 수 있습니다.

Safex는 사용자가 중개자 없이 제품을 사고팔 수 있는 개인용 탈중앙화된 시장을 위해 설계된 블록체인 플랫폼입니다. Safex는 SFT(Safex Token)와 SFX(Safex Cash)라는 2가지 주요 암호화폐를 사용합니다. 프라이버시를 우선시하는 Safex는 기본적으로 Monero에 기반해 링 서명과 스텔스 주소를 사용해 거래를 추적할 수 없도록 하고 사용자 신원을 보호합니다.

현재로서는 SafeX 코인이 마이닝에 가장 수익성이 높은 것으로 보입니다. 따라서 공격자들에게 매력적인 코인이지만 설정 파일에 있는 몇 개의 지갑을 제외하고는 활발한 암호화폐 마이닝을 발견하지 못했습니다.

Akamai가 개발한 전용 툴을 사용해 Safex 네트워크를 매핑해 보면 네트워크가 Monero 네트워크에 비해 매우 작다는 것을 알 수 있습니다. 298개의 노드를 발견할 수 있었지만 공개적으로 이용 가능한 노드는 6개뿐이었습니다.

이 코인은 마이닝에 있어 수익성이 있는 것으로 보이지만 현재 공격자들은 이를 간과하고 있습니다. 공격자들은 SafeX의 수익성을 인식하지 못하고 있으며 이 코인을 악용하는 악성 활동이 곧 나타날 것으로 예상됩니다.

마이너들은 여러 가지 토폴로지로 마이닝 네트워크를 설정할 수 있습니다. 모든 설정에는 장단점이 있지만 이 모든 설정은 수익성과 보안의 균형을 최적화하도록 설계되어 있습니다. 일부 토폴로지는 탈중앙화된 아키텍처를 사용해 네트워크를 지원하고 지속 가능성을 보장합니다. 다른 토폴로지는 해시레이트를 최적화하고 블록 보상을 받을 가능성을 높이는 데 중점을 둡니다.

다양한 토폴로지의 구성요소는 본질적으로 동일합니다. 이 모든 것은 IP, I2P, Tor 등의 네트워크 프로토콜과 피어 투 피어 통신을 위한 Levin, JSON-RPC를 통한 STRATUM 프로토콜 등의 애플리케이션 프로토콜을 사용해 상호작용을 합니다. Stratum 프로토콜은 합의 해싱 알고리즘을 계산하는 데 필요한 모든 데이터를 포함하는 간단한 JSON 구조의 작업을 사용해 마이너를 운영하는 암호화폐 마이닝 표준입니다.

다양한 마이닝 토폴로지에 대한 사례 연구로서, Monero에 초점을 맞출 것입니다. 전형적인 Monero 마이닝 토폴로지는 표 2에 나와 있는 구성요소 중 하나로 구성됩니다.

다음 섹션에서는 마이닝 작업에 사용할 수 있는 다양한 종류의 토폴로지를 자세히 설명합니다.

• 솔로
• 풀
• P2Pool
• Nicehash
• 프록시

정상적인 목적이든 악성 목적이든, 이러한 토폴로지는 크립토마이너를 추적하고 탐지하는 데 중요한 역할을 합니다.

솔로 마이닝의 경우, 마이너는 자신의 노드 또는 신뢰할 수 있는 노드를 직접 사용합니다(그림 5). 솔로 마이닝은 블록이 발견될 때 공격자의 잠재적 수익을 증가시키지만 보상을 받을 가능성도 크게 줄여줍니다. 공격자의 봇넷이 충분히 크다면 솔로 마이닝이 가치가 있을 수 있습니다.

그러나 한 개인이 상당한 양의 해시레이트를 제어할 수 있다면, 네트워크에 심각한 리스크를 초래할 수 있습니다.

Akamai는 아직 솔로 마이닝을 목적으로 설정된 암호화폐 마이닝 멀웨어를 발견하지 못했습니다. 솔로 마이닝이 항상 공격자에게 보상을 주는 것이 아니며 다른 마이닝 전략이 장기적으로 더 많은 가치를 제공할 수 있기 때문일 수 있습니다. 또는 노드를 유지하는 데 드는 높은 운영 비용과 노드를 소유하는 것이 공격자의 익명성을 훼손할 수 있다는 사실 때문일 수도 있습니다.

Monero의 P2Pool은 전통적인 마이닝 풀에서 흔히 발견되는 중앙 집중화 문제를 해결하는 분산형 마이닝 풀입니다. P2Pool은 마이닝 작업을 관리하고 보상을 분배하는 중앙 기관에 의존하는 대신, 마이너들이 직접 협력하는 피어 투 피어 네트워크를 만듭니다(그림 7). 이 접근 방식은 프라이버시와 분산화에 대한 Monero의 약속과 일치하며 마이닝 과정의 보안과 공정성을 모두 향상시킵니다.

P2Pool 시스템에서 각 마이너는 전체 Monero 노드를 실행하고 네트워크의 해시 파워에 기여하는 동시에 자신의 마이닝 활동을 계속 제어할 수 있습니다. 보상은 각 마이너의 기여도에 비례해 분배되며, 이 모든 과정은 Monero의 강력한 프라이버시 기능을 손상시키지 않습니다. 

중앙 집중식 제어를 제거함으로써 P2Pool은 단일 실패 지점 및 잠재적 검열과 같은 리스크를 줄이고 Monero 생태계의 마이너에게 더 탄력적이고 민주적인 환경을 제공합니다.

P2Pool 토폴로지를 사용하면 수수료가 없고 블록 발견율이 더 높다는 장점이 있지만, Akamai는 아직 이 토폴로지에서 작동하는 악성 샘플을 발견하지 못했습니다. 공격자의 관점에서 안정적인 노드의 작동이 불리하다면 공격자의 익명성이 훼손될 수 있습니다.

Nicehash는 컴퓨팅 리소스 거래를 위한 서비스입니다. 마이너들은 단일 알고리즘을 지정하지 않고 장비의 해시레이트를 판매할 수 있으며, 이에 대한 고정 가격을 받을 수 있습니다. 이 서비스는 마이닝의 통계적 요소와 운 요소를 제거하고, 이를 감소되었지만 일정한 수입으로 대체합니다.

이 종류의 마이닝은 여러 알고리즘을 동시에 결합하는 풀 마이닝과 유사합니다. 즉, 마이너가 여러 구매자를 위해 동시에 다양한 알고리즘을 통해 마이닝합니다.

Nicehash와 관련된 크립토마이너는 판매자와 구매자의 신원을 확인하기 위해 고객알기제도(KYC)를 요구하기 때문에 이들을 발견할 가능성이 작습니다. 가짜 또는 도난당한 신원을 사용해 연결될 수 있지만 그럴 가능성은 거의 없습니다.

공격자들이 사용하는 2가지 종류를 모두 발견할 수 있었는데, 그 둘의 차이점은 하나는 마이닝 풀 주소를 숨기려고 시도한 것이고, 다른 하나는 풀과 사용된 지갑을 숨기려고 시도한 것입니다.

사이버 범죄에 암호화폐를 사용하는 것은 흔한 일이지만, 일반적으로 지불 수단으로 사용됩니다. 이와는 대조적으로, 크립토마이너 멀웨어는 암호화폐의 근본적인 측면인 마이닝 과정을 주요 매출 창출 수단으로 이용합니다.

공격자들은 다양한 마이닝 토폴로지를 활용해 프라이버시를 강화하고 일반적으로 사용되는 탐지 방법에 대한 저항력을 높일 수 있습니다. 예를 들어, 멀웨어 샘플에 지갑 주소를 포함시키지 않으면 지갑 주소 패턴을 식별하도록 설계된 정적 분석 엔진의 효율성이 감소합니다. 또한 이 전략은 개별 샘플을 대규모 캠페인에 연결하는 것을 더 어렵게 만들어 작업의 익명성을 보호합니다.

크립토마이너 후보 목록을 작성하면 공격자들이 암호화폐 마이닝 봇넷 내에서 사용할 코인을 예측할 수 있습니다. 이러한 인사이트는 눈에 띄지 않는 캠페인을 발견하고 특정 범위의 크립토마이너 후보에 대한 탐지 방법에 집중하는 데 도움이 될 수 있습니다.