加密挖矿程序深度解析:内部构成与研究
加密挖矿程序(也称为加密劫持程序)是一类恶意软件,通过加密货币挖矿来利用受害者的资源牟利。与攻击者通常使用加密货币作为付款方式相反,加密挖矿程序利用加密货币的基本基础(即区块链挖矿操作)来获取经济收益。
加密货币最初被设计为一种无国界、去中心化的转帐手段,脱离了传统的银行系统。自从比特币首次出现以来,其他许多加密货币和基于加密的代币也应运而生。每类代币均基于一个主题或一组功能,这使其有别于其他类型的代币。例如,门罗币旨在完全保护隐私,防止交易跟踪并确保交易完整性,而狗狗币等 meme 币的情绪价值高于实用价值。
攻击者既想获利又想隐藏身份,这使得加密货币成为他们的不二选择。这是因为加密货币不但可以让攻击者自由使用非法所得,而且会极大地降低被执法机构发现的风险。要想隐秘地赚取经济收益,挖掘以隐私为导向的加密货币无疑是一条最直接的途径。此类加密货币可以让攻击者立竿见影地获利,而不会暴露身份,并且还能掩盖与之相关的任何交易。
本博客系列包含三个部分,我们将深入探讨加密货币和加密挖矿程序领域。第一篇博文(本篇)探讨了加密货币的基础知识,包括区块链技术和挖矿的一般运作方式,还介绍了攻击者在选择可挖掘的加密货币来满足其隐私和效率要求时的思维方式。
下一篇博文将讨论加密挖矿程序,特别是我们发现的那些恶意加密挖矿程序。我们将探讨一些加密挖矿程序统计数据、它们产生的收益,以及它们如何运作和感染受害者。本系列的第三篇(即最后一篇)博文将介绍防御技术,即我们如何检测加密挖矿程序、减小它们产生的影响并实施反击以防止攻击产生任何收益。
加密挖矿程序带来的全球性影响
2013 年,有指控称一家电子游戏公司利用客户的设备挖掘比特币。自此之后,加密挖矿程序便开始影响整个世界。10 多年后的今天,这一威胁已经变得非常大,加密挖矿程序已成为全球网络犯罪的中坚力量。
多年来,已经发布了许多关于加密挖矿程序的案例研究:从 2017 年的 WannaMine 僵尸网络到最近针对 Redis 的 Migo 活动,再到云特定脚本和浏览器挖掘脚本的变体,相关案例比比皆是。近年来,Akamai 发现了几个加密挖矿僵尸网络,如 Panchan 和 NoaBot。
攻击量
随着时间的推移,将关注点转移到加密挖矿程序上的攻击者似乎越来越多。图 1 显示,2023 年的全球恶意加密货币挖矿活动数量激增,这一趋势在 2024 年仍然持续。尽管数量发生了爆炸式增长,但分析报告中并未指出加密挖矿程序的行为发生了重大变化。2024 年的典型加密挖矿程序与 10 年前的前辈们的行为非常相似,即非常嘈杂的非定向攻击,感染云资源和国内计算机,以便挖掘以隐私为导向的加密货币。
图 1:检测到的加密挖矿程序攻击量(来源:https://www.sonicwall.com/resources/white-papers/2023-sonicwall-cyber-threat-report)
加密挖矿程序的行业领域分布
加密挖矿程序对各行各业以及各个领域都产生了重大影响。Akamai 凭借对互联网流量的独特见解,识别出了加密挖矿程序与公共加密货币矿池的通信。图 2 显示了各行业领域的加密货币挖矿流量分布情况。
图 2:观察到的攻击在各行业的分布情况
高等教育机构极易受到攻击,这可能是因为他们拥有大量往往无人监管的计算资源。
在私营部门,加密挖矿程序将云计算和托管服务等领域作为优先攻击目标。这些目标让攻击者能够访问大量计算资源,同时又能避免被发现,不会在受害者环境中留下明显的噪音、热量和电力消耗等迹象,从而给攻击者大开方便之门。
此类攻击会给受害者造成巨额经济损失。2022 年,Sysdig 研究表明,加密挖矿程序每赚取 1 美元收益,受害者就将蒙受约 53 美元的经济损失(图 3)。
图 3:攻击者收益与受害者费用的比较
生成式 AI 为加密挖矿程序带来新机遇
我们预测,新近崛起的生成式 AI 将对加密挖矿程序格局产生重大影响,而这也将成为一大趋势。AI 计算高度依赖于图形处理单元 (GPU),此类组件在企业网络和服务器中正变得更加常用。由于许多挖矿算法都依赖 GPU 的强大算力,AI 行业所使用的底层计算基础架构对加密货币挖矿运营者来说极具诱惑力。
也许不久的将来,攻击者就会直接通过模型交互并且/或者通过训练过程向 AI 基础架构发起攻击。
攻击者的动机
出于两大原因,攻击者选择使用加密挖矿程序:
- 财务
- 隐私
财务动机
除国家支持的威胁行为者和黑客行为外,大多数网络犯罪都是出于财务动机。利用加密挖矿程序,可以简单且直接地将入侵货币化,而无需另行将攻击者对网络的控制转化为资本,例如勒索软件勒索或出售敏感数据。这使加密货币挖矿恶意软件成为攻击者深爱的一种牟利工具。
攻击者考虑的其他因素包括加密货币价值和挖掘分成率。举个例子,如果攻击者的攻击年收益仅为 1 美分,那么就不值得冒被逮捕的风险。这使得攻击者需要在发起的攻击和获得的收益之间找到平衡,基于这一点,我们可以缩小攻击者可能挖掘的加密货币的范围。
在调查期间,我们发现有一个攻击者似乎最早从 2018 年 6 月开始一直保持活跃状态,平均每年能获得 300 XMR 的收益。如果我们按照当前的门罗币价值(1 XMR 价值 150 美元)计算他们的收益,可以发现他们赚了大约 45,000 美元。在 2024 年,这相当于美国一家没有员工的小企业的平均收入。
隐私动机
隐私是大多数加密货币的固有特性。它们采用加密算法,结合使用密钥和相应的公钥(用作钱包地址),保护隐私和所有权。利用加密货币的这一固有特性,以及可用于隐藏交易金额、发送方地址和接收方地址的其他隐私算法,攻击者几乎可以完全隐藏自己的活动。
正如我们提到的,攻击者在将僵尸网络转移到挖掘特定的加密货币时,会做出多项权衡。其中一项权衡涉及攻击者的隐私与利润,因为有些加密货币带来的收益更大,但隐私保护却更少。根据三个方面的匿名性来衡量加密货币隐私:
与网络进行通信;有一些加密货币依赖于隐私网络协议,如 Tor 或 I2P
保护交易信息,如钱包地址和金额,防止追踪和隐藏帐户余额
将加密货币纳入可保护隐私的交易平台
例如,比特币缺少交易私密性,导致用户易受到监控,增加了去匿名化的风险。这一限制将减少攻击者可利用的加密货币种类。因此,攻击者只要能利用隐私币获取收益,就会动力十足。
不过,如果隐私币变得无利可图或者挖矿过程发生变化,例如转为“持有量证明”(下文将详细介绍),致使攻击者无法通过资源密集型方法轻松获利,那么这一动机就会减少。
有动机的攻击者必须考虑如何实施此类加密挖矿程序活动,而了解挖矿过程的基本原理对于做到这一点至关重要。在下一节中,我们将大致介绍挖矿过程,以了解攻击者所关注的方面,这将有助于我们开发出更好的搜寻和检测技术。
加密货币 101
什么是加密货币?
加密货币是一种数字形式的货币,采用加密技术来确保交易安全,并控制新单位(又称币或代币)的产生。与传统货币(即法定货币)不同,加密货币的工作环境是采用了区块链技术的去中心化网络,而区块链技术是一种由节点网络维护的分布式分类帐系统。
区块链上的每笔交易都记录在一个区块中,并与上一笔交易关联,从而构建出了一个不可变的记录链,而如果不控制网络的大部分计算能力,几乎无法更改这些记录。有了这项去中心化的特性,不仅无需银行等中介机构,而且提高了安全性和透明度。
钱包是加密货币系统的一个重要组成部分,它包含一组加密密钥,可让用户在区块链上进行资产交易。钱包由采用特定格式的字符串(称为地址)表示。虽然这些地址之间的交易已公开记录在区块链上,但仍隐藏了参与者身份,除非有其他信息与地址关联。
隐私性更高的加密货币(如门罗币或零币)则在此基础上更进一步,它们采用环签名、隐身地址和零知识证明等先进的加密技术来隐藏交易细节,包括发送方、接收方和金额。这些特性使第三方难以追踪到具体的个人交易,与传统金融系统相比,隐私性和匿名性更高。
共识算法
要在区块链上应用新的区块,必须依托各方议定的基本算法。通过采用被称作共识算法的算法系列及其专门变体,可以使去中心化网络正常运行,用以验证区块链交易。这些算法用于防止重复支出,保持分类帐的完整性,并支持各方之间无需信任的交易。
加密货币不同,所采用的共识机制就不同,每种机制均通过自己的独特方法来达成共识,同时权衡安全性、可扩展性和能效等因素。
工作量证明
工作量证明 (PoW) 是一种广为人知的共识算法,比特币和其他几种加密货币都采用这种算法。在 PoW 中,各矿工进行竞争以解决复杂的数学谜题,这一过程需要耗费大量的计算能力。第一个解开谜题的矿工有权向区块链添加新区块,并获得加密货币奖励。
虽然这一过程需耗费大量能源,但却能提供强有力的安全性,因为更改区块链需要攻击者控制 50% 以上的网络计算能力,因此难以发起此类攻击。
持有量证明
另一种常用的共识算法是持有量证明 (PoS),Ethereum 2.0 和 Cardano 等加密货币都使用这种算法。在 PoS 中,验证方需根据自身已持有和愿意投入的加密货币数量来选择创建新区块。
这种算法不需要耗费大量的计算资源,比 PoW 的能效更高。不过,PoS 认定网络中的加密货币持有量更大的相关方更有动力诚实行事。
加密挖矿程序仅使用 PoW(或容量证明,本文中未进行介绍)挖矿算法,因为攻击媒介是基于资源劫持的。因此,从现在起,请在挖矿环境中考虑使用 PoW。
抗 ASIC 算法
用于计算共识算法的硬件多种多样。中央处理单元 (CPU) 是一种通用集成电路 (IC),可用于轻松计算任何共识算法,但有时效率不高。为此,针对图形处理单元 (GPU) 设计了一些算法,相较于 CPU,GPU 处理复杂算术运算的效率更高。
矿工使用的另一类硬件是专用集成电路 (ASIC) 和可编程门阵列 (FPGA),它们是为执行特定任务而优化的处理单元。这两种处理单元能够出色地完成计算 sha1 哈希算法等确定性任务,但如果在运行时执行期间,内存需求大或可能的分支量大时(这取决于上一个迭代输出),它们都将无法完成此类任务。
大多数加密货币都依赖于去中心化,这样方能确保区块链安全可靠。如果网络通过控制大部分网络节点或者通过成为主要矿工(基于哈希率)而变成一个中心化网络,则攻击者可以发起 51% 攻击。为了减轻此问题,许多加密货币都增加了专用哈希算法,以便降低 ASIC 在设计和生产上的经济可行性。
这些算法基于使用通用处理器执行耗费内存的复杂算法的实践,旨在与 CPU 优化功能配合使用。换句话说,该算法使用耗费内存的地址空间与尽可能多的新式 CPU 功能,从而导致无法创建专用 ASIC。从根本上说,如果有人试图针对此算法创建 ASIC,最终将获得全面的 CPU。
挖矿过程
挖矿过程就像买彩票一样。每个参与者都需要完成一项任务,其中包括区块信息和随机数。矿工需要找到一个符合网络的目标难度的随机数,从统计学上讲,可以在特定时间段内做到这一点。这段时间被称为目标时间,通过为未来区块设置难度 (d) 来实现,这可确保挖矿率稳定并发生在目标时间段内。
难度通常表示需要计算多少个哈希值才能找到符合目标 (t) 值的有效哈希值。目标值表示所有有效的哈希值的上确界。门罗币的难度计算方法是用可能的哈希值数量除以目标值。
尽管许多加密货币都定义了自己的难度计算方法,但计算结果都相似,因为此计算方法限制了网络哈希率 (fhashrate[hashs])。这意味着,如果我们用难度除以目标时间,就能计算出网络的哈希率。
![尽管许多加密货币都定义了自己的难度计算方法,但计算结果都相似,因为此计算方法限制了网络哈希率 (fhashrate[hashs])。这意味着,如果我们用难度除以目标时间,就能计算出网络的哈希率。](/site/zh/images/blog/2024/process-two.jpg)
例如,如果 t = 0x1F,而 t 的大小为 1 个字节,那么难度为 0xFF0x1F = 8。从统计学上讲,这表示随机数的每八次哈希计算就可能得出一个匹配值。
在为网络设定目标时间来控制区块链的增长率后,就可以得出 N 个区块的每区块时间结果平均值,并得出哈希率。利用哈希率,可以设置下一个难度;对于某些加密货币,每个区块会相对于前面 N 个区块更改难度,而其他加密货币则每隔一定数量的区块更改一次难度。
交易隐私
比特币是首个获得广泛使用的加密货币,它使用区块链技术来记录网络交易。这些交易以明文形式存储,可供任何人通过区块链资源管理器服务公开访问(如果愿意,也可以手动访问)。与比特币相关的匿名性有点容易令人误解——虽然数字钱包的使用确实是匿名的,但与第三方的互动却不是匿名的。
举个例子,如果有人想用法定货币(如美元)兑换比特币,就必须公开自己的钱包,而这会将身份与钱包联系起来,从而导致去匿名化。即便试图通过转化型交易来混淆身份,最终也会获得相同的结果,因为这些交易在通过交易平台离开网络之前都能够被追踪到。在将资金存入网络或者从网络提取资金的过程中,常常会使用匿名化。
在一些合法的环境中(例如减少对交易知识的滥用),需要保留隐私,因而产生了以隐私为导向的加密货币。不过,隐私也可能被滥用来掩盖犯罪活动,这使得以隐私为导向的加密货币成为加密挖矿程序和其他恶意攻击者的共同需求。
如今,以隐私为导向的加密货币可以隐藏发送方和接收方的地址以及他们之间的交易金额。这种等级的隐私导致无法在网络上追踪涉及非法所得资金的交易。
加密货币候选
通过分析操作加密挖矿程序的网络罪犯的能力和需求,我们创建了符合其要求的加密货币的清单。首先,加密挖矿程序通常会跨不同的架构大规模运行,这使跨平台挖矿实施变得至关重要。这种多样性可能涉及到 x86、AMD64、ARM 和其他 CPU 架构。
在许多情况下,受害者并没有功能强大的 GPU,也没有配备 ASIC 或 FPGA 的矿机。因此,关注点转向了抗 ASIC 算法,这种算法旨在将挖矿限制在常见的传统平台上,如家用电脑和类似设备。
加密挖矿程序依赖的另一个关键方面是加密货币网络的隐私。由于加密挖矿程序在大多数国家/地区都被视为非法软件,因此,恶意攻击者在试图洗钱时必须隐藏其行踪。
考虑到这些因素,我们可以强调选择加密挖矿程序的加密货币的必要条件:
- 跨平台架构
- 抗 ASIC 挖矿算法
- 可持续的高利润
- 以隐私为导向的加密货币,支持不可追踪的交易
- 轻量级挖矿算法实施
表 1 列出了根据上述假设得出的最相关加密货币的简短清单。此清单主要关注抗 ASIC 和以隐私为导向的加密货币,以及目前已应用这些加密货币的加密货币交易平台的数量。(有关潜在加密挖矿程序加密货币的完整清单,请参见附录 A。)
表 1:加密挖矿程序使用的相关加密货币的比较
表 1 根据撰写本文时加密货币的盈利能力进行了排序。在这项研究中,我们将重点关注加密挖矿程序更常用的加密货币,并对自动散布型 (ITW) 样本进行分析。为了根据当前市场价值和奖励率重新生成加密货币候选表,我们在 Akamai GitHub 存储库中发布了自己的代码。
在研究了攻击者的动机、加密货币区块链的基本原理及其挖矿过程后,我们创建了这个候选货币表。现在,我们将更深入地研究以下三种加密货币以及合法矿工和恶意加密挖矿程序都能用来获取加密货币的挖矿拓扑结构。
- 门罗币,以被攻击者使用而闻名
- Zephyr,似乎前景不错
- Safex,我们认为可能会被攻击者忽略
门罗币
众所周知,门罗币是加密挖矿程序最常使用的加密货币。它是一种以隐私为导向的加密货币,基于抗 ASIC 的 RandomX 算法,这使它成为加密挖矿程序的理想选择。门罗币使用先进的加密算法来实施前沿隐私技术,例如环签名、多重非对称密钥、防弹、RingCT 等。有关这些隐私技术和算法的更多信息,请参见 Moneropedia。
门罗币采用了 RingCT 算法,将大量无效的输入交易与实际交易结合来隐藏交易使用的输入,从而隐藏转帐金额。它还使用多种技术对数值进行签名,从而仅允许交易参与者读取这些数值。发送方和接收方的身份都将受到加密保护,这意味着它通过发送方、接收方和金额这三个主要因素来实施隐私保护。
为了使 RandomX(以及门罗币)能够抗 ASIC,它定义了自己的指令集和运行指令集的虚拟机 (VM)。与传统的虚拟机不同,该虚拟机并不是一个单独的操作系统,而是一种将自定义指令集转换为底层硬件的解释程序。
我们专注于研究门罗币,而我们用来分析门罗币网络、程序和区块链的方法也适用于其他任何加密货币。
Zephyr
Zephyr 自身的定位是一个专注于隐私的协议,旨在彻底改变稳定币行业。Zephyr 以门罗币的强有力的隐私特性为基础,并使用 RandomX PoW 挖矿算法,将其加密货币分为以下四种代币,从而引入一个独特的生态系统:ZEPH、ZSD、ZRS 和 ZYS(图 4)。
图 4:Zephyr 代币关系。矿工获得奖励的 65% 来自于挖掘 ZEPH,奖励的剩余部分由区块链保留。
在这个框架中,ZEPH 是充当参考货币的可挖矿货币。ZRS 为对应的稳定币 ZSD 提供储备支持。2024 年,Zephyr 推出了 ZYS,这是一种收益机制,旨在从流通的 ZYS 代币增长中获得收益。
这意味着,相较于 ZSD,ZYS 的价值会持续增长,为用户提供与稳定币表现相关的潜在有盈利的投资。攻击者将使用可挖矿的 ZEPH 代币,同时考虑其他代币的趋势,从而确立攻击目标。
目前,它几乎是可获收益最少的可挖矿货币,加密挖矿程序也最不愿意使用此加密货币。尽管如此,我们还是找到了对 Zephyr 进行挖矿的恶意软件样本。我们可以推测出攻击者将其用于攻击活动中的原因:这可能是为了获得更多收益 (7.896 ZEPH),找到区块或躲避门罗币专用检测引擎。
SafeX
Safex 是一个区块链平台,旨在建立一个私有的、去中心化的市场,用户可以在这里买卖产品,消除了中间商环节。它使用两大加密货币:Safex Token (SFT) 和 Safex Cash (SFX)。Safex 将隐私放在首位,使用环签名和隐身地址,确保交易不可追踪并保护用户身份,而这一切都基于门罗币。
目前,SafeX 币似乎是收益非常高的挖矿币。这对攻击者来说极具吸引力,但除了配置文件中的几个钱包外,我们还没有发现活跃的加密挖矿活动。
通过使用我们创建的专用工具映射 Safex 网络,可以发现该网络在门罗币网络面前就显得微不足道了。我们可以找到 298 个节点,但只有 6 个节点是公开可用的。
虽然此加密货币在挖矿方面似乎收益不错,但攻击者目前并未使用它。我们推测,攻击者并未发现 SafeX 的盈利能力,并且在不久之后,就会出现滥用它的恶意活动。
挖矿拓扑结构
矿工可以使用几种拓扑结构设置挖矿网络。虽然每种设置各有自己的优缺点,但它们总是能够更好地权衡盈利能力与安全性。一些拓扑结构使用去中心化的架构来支持网络并确保其可持续发展。其他拓扑结构侧重于优化哈希率,提高收集区块奖励的几率。
各种拓扑结构的组成部分都基本相同。它们都使用 IP、I2P、Tor 等网络协议、用于点对点通信的 Levin 等应用协议以及通过 JSON-RPC 实施的 STRATUM 协议来进行交互。Stratum 协议是使用简单的 JSON 结构化作业(包含计算共识哈希算法所需的所有数据)来操作矿工群的加密货币挖矿标准。
案例研究
在针对不同的挖矿拓扑结构的案例研究中,我们将重点关注门罗币。典型的门罗币挖矿拓扑结构由表 2 所示的某个组件构成。
表 2:典型的门罗币挖矿拓扑结构
用于挖矿操作的拓扑结构
后面的章节将详细介绍可用于挖矿操作的各种拓扑结构,包括:
- 独立
- 矿池
- P2Pool
- Nicehash
- 代理
无论是出于合法目的还是恶意目的,这些拓扑结构都在搜寻和检测加密挖矿程序方面发挥了至关重要的作用。
独立
在独立挖矿中,矿工直接使用自己的节点或可信节点(图 5)。虽然独立挖矿增加了攻击者在发现区块时的潜在收益,但也大大降低了他们获得奖励的几率。如果攻击者的僵尸网络足够大,进行独立挖矿可能是值得的。
但如果一个攻击者控制了大量的哈希率,则会给网络带来严重风险。
图 5:独立挖矿拓扑结构
我们还没有遇到针对独立挖矿配置的加密货币挖矿恶意软件。这可能是因为独立挖矿并不总能让攻击者获得收益,因此,从长远来看,其他挖矿策略可能会创造更多价值。也可能是因为维护节点的运营成本非常高,而且拥有一个节点可能会降低攻击者的匿名性。
矿池
与独立挖矿不同,矿池挖矿可实现与其他矿工的合作,从而提高找到新区块的几率,毕竟这就是一个统计游戏。当多个矿工合作解决区块链中的下一个区块时,他们的哈希率将合并,这使得他们在网络中以单个矿工的身份出现(图 6)。
图 6:矿池挖矿拓扑结构
这个矿工现在被称为矿池,矿池通常由一个实体管理。只要发现新区块,就会根据参与矿工的贡献来分配收益并计为股份。因此,矿池将充当多个矿工之间的协调者,从而提高他们挖掘区块和获得收益的统计几率。
一些矿池要求支付手续费,并且它们都制定了一个支付模式来定义收益的分配方式,如根据过去的 N 个股份来支付收益 (PPLNS)。许多矿池不要求矿工提供身份验证或身份证明;通常是用于身份验证和付款的钱包地址。
能够广泛覆盖各种加密货币的矿池数不胜数。其中一些矿池根据一些共有特性(如隐私)收集多种加密货币,并提供一种简便的方法,以相同的方式使用同一矿池操作多个矿机。其他一些矿池提供多货币挖矿功能,即同一台采矿设备根据收益同时挖掘多种加密货币,类似于 nicehash 操作。
表 3 列出了我们前面讨论过的三种加密挖矿程序候选货币的知名矿池列表。
门罗币 |
Zephyr | SafeX |
|---|---|---|
nanopool.org supportxmr.com c3pool.com hashvault.pro p2pool.io moneroocean.stream skypool.org xmrpool.eu pool.kryptex.com herominers.com p2pool.io solopool.org monerohash.com antpool.com pool.xmr.pt rplant.xyz monerod.org dxpool.com bohemianpool.com prohashing.com mining-dutch.nl gntl.uk fairhash.org volt-mine.com zeropool.io fastpool.xyz xmr-pool.com zergpool.com xmrminers.com monerop.com pool-pay.com solopool.pro frjoga.com infinium.space minorpool.com cedric-crispin.com aikapool.com |
herominers.com nanopool.org miningocean.org 2miners.com pool.kryptex.com hashvault.pro h9.com 2miners.com ekapool.com k1pool.com raptorhash.net miningmadness.com solopool.org rplant.xyz zephyrprotocol.com gntl.uk aikapool.com fastpool.xyz pool-pay.com thunderhash.com c3pool.com moneroocean.stream minorpool.com skypool.org zergpool.com newpool.xyz coinminerhub.com
|
safex.org safex.ninja pool-pay.com fastpool.xyz skypool.org
|
表 3:适用于门罗币、Zephyr 和 SafeX 的知名矿池
门罗币 |
Zephyr | SafeX |
|---|---|---|
nanopool.org supportxmr.com c3pool.com hashvault.pro p2pool.io moneroocean.stream skypool.org xmrpool.eu pool.kryptex.com herominers.com p2pool.io solopool.org monerohash.com antpool.com pool.xmr.pt rplant.xyz monerod.org dxpool.com bohemianpool.com prohashing.com mining-dutch.nl gntl.uk fairhash.org volt-mine.com zeropool.io fastpool.xyz xmr-pool.com zergpool.com xmrminers.com monerop.com pool-pay.com solopool.pro frjoga.com infinium.space minorpool.com cedric-crispin.com aikapool.com |
herominers.com nanopool.org miningocean.org 2miners.com pool.kryptex.com hashvault.pro h9.com 2miners.com ekapool.com k1pool.com raptorhash.net miningmadness.com solopool.org rplant.xyz zephyrprotocol.com gntl.uk aikapool.com fastpool.xyz pool-pay.com thunderhash.com c3pool.com moneroocean.stream minorpool.com skypool.org zergpool.com newpool.xyz coinminerhub.com |
safex.org safex.ninja pool-pay.com fastpool.xyz skypool.org |
表 3:适用于门罗币、Zephyr 和 SafeX 的知名矿池
门罗币 |
Zephyr | SafeX |
|---|---|---|
nanopool.org supportxmr.com c3pool.com hashvault.pro p2pool.io moneroocean.stream skypool.org xmrpool.eu pool.kryptex.com herominers.com p2pool.io solopool.org monerohash.com antpool.com pool.xmr.pt rplant.xyz monerod.org dxpool.com bohemianpool.com prohashing.com mining-dutch.nl gntl.uk fairhash.org volt-mine.com zeropool.io fastpool.xyz xmr-pool.com zergpool.com xmrminers.com monerop.com pool-pay.com solopool.pro frjoga.com infinium.space minorpool.com cedric-crispin.com aikapool.com |
herominers.com nanopool.org miningocean.org 2miners.com pool.kryptex.com hashvault.pro h9.com 2miners.com ekapool.com k1pool.com raptorhash.net miningmadness.com solopool.org rplant.xyz zephyrprotocol.com gntl.uk aikapool.com fastpool.xyz pool-pay.com thunderhash.com c3pool.com moneroocean.stream minorpool.com skypool.org zergpool.com newpool.xyz coinminerhub.com |
safex.org safex.ninja pool-pay.com fastpool.xyz skypool.org |
表 3:适用于门罗币、Zephyr 和 SafeX 的知名矿池
门罗币 |
Zephyr | SafeX |
|---|---|---|
nanopool.org supportxmr.com c3pool.com hashvault.pro p2pool.io moneroocean.stream skypool.org xmrpool.eu pool.kryptex.com herominers.com p2pool.io solopool.org monerohash.com antpool.com pool.xmr.pt rplant.xyz monerod.org dxpool.com bohemianpool.com prohashing.com mining-dutch.nl gntl.uk fairhash.org volt-mine.com zeropool.io fastpool.xyz xmr-pool.com zergpool.com xmrminers.com monerop.com pool-pay.com solopool.pro frjoga.com infinium.space minorpool.com cedric-crispin.com aikapool.com |
herominers.com nanopool.org miningocean.org 2miners.com pool.kryptex.com hashvault.pro h9.com 2miners.com ekapool.com k1pool.com raptorhash.net miningmadness.com solopool.org rplant.xyz zephyrprotocol.com gntl.uk aikapool.com fastpool.xyz pool-pay.com thunderhash.com c3pool.com moneroocean.stream minorpool.com skypool.org zergpool.com newpool.xyz coinminerhub.com |
safex.org safex.ninja pool-pay.com fastpool.xyz skypool.org |
表 3:适用于门罗币、Zephyr 和 SafeX 的知名矿池
P2Pool
门罗币的 P2Pool 是一个去中心化矿池,它解决了传统矿池中经常出现的中心化问题。P2Pool 不依赖中央机构来管理挖矿操作和分配奖励,而是会创建一个点对点网络以便矿工直接协作(图 7)。这种方法与门罗币的隐私和去中心化承诺相一致,提高了挖矿过程中的安全性和公平性。
图 7:P2Pool 挖矿拓扑结构
在 P2Pool 系统中,每个矿工运行一个完整的门罗币节点,为网络贡献算力,同时保持对自己的挖矿活动的控制。奖励会根据每个矿工的贡献按比例分配,绝不会降低门罗币的强有力的隐私特性。
通过消除集中化控制,P2Pool 降低了单点故障和潜在审查等风险,并在门罗币生态系统中为矿工建立了一个更具韧性和民主化的环境。
尽管使用 P2Pool 拓扑结构可获得很多好处(包括无需支付费用和更高的区块发现率),但我们还没有遇到在这种拓扑结构中应用的恶意样本。从攻击者的角度来看,稳定节点的运行会降低他们的匿名性,从而给他们带来不利。
Nicehash
Nicehash 是一项计算资源交易服务。矿工可以出售其采矿设备的哈希率,而无需指定单一算法,并可以获得固定价格。它消除了挖矿的统计因素和运气因素,取而代之的是减少但不变的收入。
这种挖矿方式类似于矿池挖矿,即挖矿任务同时结合使用多种算法,这意味着矿工将同时通过不同的算法为多个买家挖矿。
由于 Nicehash 的 KYC(充分了解您的客户)要求对卖方和买方进行身份验证,因此发现与 Nicehash 关联的加密挖矿程序的几率很小。他们可能使用伪造或盗用的身份来建立关联,但这可能不会持久。
代理
代理是一种众所周知的网络组件,用于在传输层或应用层路由连接。门罗币挖矿以及常见挖矿都使用 Stratum 协议来交付挖矿任务——与任何应用协议一样,如果需要,可以使用代理或简单的路由表规则将它重定向到另一个服务器。
另外,挖矿代理服务器也可以直接为矿工服务,从矿池或节点拆分挖矿任务,并将其分配给关联的矿工,就像门罗币软件 XMRig 代理一样,充当中间件来分配任务(图 8)。
图 8:代理挖矿拓扑结构
我们发现攻击者使用了这两种类型,区别在于,使用一种类型是为了隐藏矿池地址,而使用另一种类型是为了隐藏矿池和使用的钱包。
结论
虽然加密货币常用于网络犯罪活动中,但通常只是作为一种付款方式。而加密挖矿恶意软件则从基础入手,利用加密货币的挖矿过程作为牟利的主要手段。
攻击者可以利用各种挖矿拓扑结构来加强隐私保护,提高躲避常用检测方法的能力。例如,避免在恶意软件样本中包含钱包地址,这样有助于降低静态分析引擎在识别钱包地址模式时的效力。这一策略也使得更难将单个样本与规模更大的活动关联起来,从而确保攻击行为的匿名性。
通过创建加密挖矿程序候选货币表,我们可以预测攻击者将选择的加密货币,这些货币可能会在他们的加密挖矿程序僵尸网络中使用。此洞察有助于我们发现未被注意到的活动,并将我们的检测方法侧重于一系列特定的加密挖矿程序候选货币。
附录 A:潜在的加密挖矿程序货币
有关候选货币的收集和盈利能力计算的源代码,请参见我们的 GitHub 存储库。
名称 |
算法/架构 |
抗 ASIC |
以隐私为导向 |
每 1khs 收益 |
备注 |
|---|---|---|---|---|---|
Fennec |
YescryptR16 |
TRUE |
FALSE |
4.58E-03 |
|
Safex |
RandomSFX |
TRUE |
TRUE |
1.00E-03 |
彻底重构 RandomX |
Sumokoin |
CryptoNightR |
TRUE |
TRUE |
3.38E-04 |
|
GSP Coin |
GhostRider |
TRUE |
FALSE |
3.01E-04 |
|
Yerbas |
GhostRider |
TRUE |
FALSE |
1.31E-04 |
|
Raptoreum |
GhostRider |
TRUE |
TRUE |
1.19E-04 |
|
Kylacoin |
Flex |
TRUE |
FALSE |
8.19E-05 |
|
Lyncoin |
Flex |
TRUE |
FALSE |
6.07E-05 |
|
FSC |
GhostRider |
TRUE |
FALSE |
5.82E-05 |
|
SPRX |
YesPoWer |
TRUE |
FALSE |
3.41E-05 |
|
门罗币 |
RandomX |
TRUE |
TRUE |
3.40E-05 |
|
门罗经典币 (XMC) |
CryptoNight |
TRUE |
TRUE |
1.99E-05 |
|
Quantum Resistant Ledger |
RandomX |
TRUE |
FALSE |
1.68E-05 |
|
Pascal |
RandomHash2 |
TRUE |
FALSE |
8.50E-06 |
|
XELIS |
XelisHash |
TRUE |
FALSE |
3.77E-06 |
|
Veles |
X11 |
FALSE |
FALSE |
1.37E-06 |
虽然 X11 设计用于抗 ASIC,但它并未做到这一点 |
Babacoin |
GhostRider |
TRUE |
FALSE |
1.10E-06 |
|
PLUS1 |
HMQ1725 |
FALSE |
FALSE |
4.75E-07 |
|
Litecoin |
Scrypt |
FALSE |
TRUE |
4.19E-07 |
|
Vertcoin |
Verthash |
TRUE |
FALSE |
4.04E-07 |
|
GBX |
NeoScrypt |
FALSE |
TRUE |
2.99E-07 |
|
01coin |
NeoScrypt |
FALSE |
FALSE |
1.52E-07 |
|
Frog Coin |
BMW512 |
FALSE |
FALSE |
1.06E-07 |
|
Veles |
Lyra2z |
TRUE |
FALSE |
6.45E-08 |
|
VGC |
X16Rv2 |
TRUE |
FALSE |
6.03E-08 |
|
Veles |
Scrypt |
FALSE |
FALSE |
5.68E-08 |
|
Zephyr |
RandomX |
TRUE |
TRUE |
4.03E-08 |
|
Dimecoin |
Quark |
FALSE |
FALSE |
1.69E-08 |
|
Veles |
X16R |
TRUE |
FALSE |
1.63E-08 |
|
Verus |
VerusHash |
TRUE |
TRUE |
1.07E-08 |
|
Actinium |
Lyra2z |
TRUE |
FALSE |
4.07E-09 |
|
狗狗币 |
Scrypt |
FALSE |
FALSE |
1.11E-09 |
|
EFL |
Scrypt |
FALSE |
FALSE |
1.03E-09 |
|
Veles |
NIST5 |
FALSE |
FALSE |
4.28E-10 |
|
Arion |
X11 |
FALSE |
FALSE |
1.71E-10 |
|
Dash |
X11 |
FALSE |
TRUE |
1.03E-11 |
|
BOLI |
X11 |
FALSE |
FALSE |
3.16E-12 |
|
BitBall |
Scrypt |
FALSE |
FALSE |
9.24E-13 |
|
Avian |
X16RT |
TRUE |
FALSE |
1.71E-20 |
|
HAL |
NeoScrypt |
FALSE |
FALSE |
0 |
|
NOVO |
SHA256DT |
FALSE |
FALSE |
0 |