Криптомайнинг стал популярным способом получения злоумышленниками прибыли от взломанных систем. Установив на хост программное обеспечение для майнинга криптовалюты, злоумышленники могут использовать ресурсы CPU и GPU хоста для "добычи" криптовалюты, которую затем можно обменять на нецифровую валюту или использовать для покупок. Эта атака стала настолько распространенной, что получила свое собственное название - "криптоджекинг".
Важно быстро определить, когда на хосте запущено программное обеспечение для криптомайнинга, чтобы производительность хоста не страдала от высокой загрузки ресурсов. Ключевым показателем является сетевой трафик. Большинство злоумышленников подключают свои майнеры к майнинговому пулу - централизованному серверу, который координирует майнинг между несколькими хостами для совместного использования ресурсов. Майнеры обращаются к серверу пула с определенным интервалом для получения обновлений и отправки данных о добыче.
Но как мы можем обнаружить эти соединения криптомайнеров?
Проблема обнаружения трафика криптомайнинга
Раньше трафик майнинга было легко определить, поскольку большинство серверов пулов прослушивали определенные порты, такие как 3333 или 7777, которые стали ассоциироваться с трафиком криптомайнинга. Однако новые пулы начали использовать другие порты, чтобы избежать обнаружения. Некоторые даже маскируют свои соединения, получая данные через порт 25 или SSL через порт 443. Хотя известные порты по-прежнему используются многими пулами, номер порта сам по себе не является высоконадежным индикатором трафика майнинга. Другие инструменты мониторинга, такие как технологии глубокой проверки пакетов, также могут не выявить майнинговый трафик, зашифрованный через SSL.
Самым простым способом обнаружения трафика криптомайнинга является мониторинг соединений с серверами пулов с помощью списка всех известных IP-адресов серверов пулов для майнинга. Однако полный список майнинговых пулов от поставщиков аналитических данных может быть трудно найти или его вообще не существует, а ведение собственного списка требует много ручной работы и быстро устаревает.
Мы нашли несколько причин, которые могут объяснить, почему разведка угроз пулов криптомайнинга не является широко доступной и сложной для разработки:
- Сеть криптомайнинга нестабильна. Любой может создать новый майнинговый пул, а существующие пулы могут добавлять новые серверы или менять IP-адреса.
- Сеть также децентрализована. Не существует единого места, где можно найти информацию о серверах пулов, поскольку для работы протоколов криптомайнинга не требуется знание всех пулов.
- Знание доменного имени майнингового пула может оказаться недостаточной информацией; майнинговые пулы часто используют различные поддомены для отдельных серверов пула. У майнингового пула может быть много разных серверов для размещения различных криптовалют или балансировки нагрузки по регионам, и эту информацию обычно можно найти только на сайте майнингового пула.
Способы решения
1. Перечисление активных пулов
Первым шагом является сбор списка активных майнинговых пулов. Существует несколько публичных сайтов, которые собирают статистику от майнинговых пулов различных криптовалют.
2. Перечисление веб-сайтов майнинговых пулов
Сайты майнинговых пулов обычно содержат информацию о том, как подключить майнера к пулу, где подробно указывается домен или IP-адрес сервера пула, который нужно использовать в конфигурации майнера. Мы заметили, что некоторые сайты используют похожие веб-фреймворки и хранят информацию в одном и том же месте.
3. Перечисление поддоменов майнинга
Если мы не можем найти домены серверов пула на сайте, мы можем попытаться найти их другим способом.
Домен веб-сайта майнингового пула часто не совпадает с доменом отдельных серверов пула, которые получают трафик для майнинга. Большинство доменов серверов пула следуют аналогичному соглашению об именовании, основанному на домене сайта пула:
Домен сайта пула | Домен сервера пула |
f2pool.com | xmr.f2pool.com |
nanopool.org | xmr-us-west1.nanopool.org |
miningpool.fun | xmr.miningpool.fun |
2miners.com | xmr.2miners.com |
hashcity.org | xmr.hashcity.org |
hashvault.pro | pool.hashvault.pro |
minexmr.com | pool.minexmr.com |
supportxmr.com | pool.supportxmr.com |
Большинство доменов серверов пула состоят из домена сайта, дополненного определенными строками. Эти поддомены обычно содержат ключевые слова, которые ссылаются на криптовалюту или криптомайнинг в целом.
Список различных майнинг пулов
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 | a.super1024.com am.super1024.com app.abcxyz.stream asia.cryptonight-hub.miningpoolhub.com ca.minexmr.com cloudflare.hashfor.cash cryptoescrow.eu cryptonotepool.org data.supportithelp.com de.minexmr.com europe.cryptonight-hub.miningpoolhub.com fcn-mro.pool.minergate.com fr.minexmr.com hash-to-coins.com kippo.eu linux-repository-updates.com litecoinpool.org mine.moneropool.com mine.ppxxmr.com mine.sumo.fairpool.cloud mineshaft.ml monero.crypto-pool.fr monero.farm monerohash.com monerominers.net mro.extrmepool.org mro.poolto.be pool-nyc.supportxmr.com pool-proxy.com pool-vegas.xmrpool.net pool.minexmr.com pool.sumokoin.hashvault.pro pool.usa-138.com proxy.mineshaft.ml sg.minexmr.com us-east.cryptonight-hub.miningpoolhub.com webcoin.me xcnpool2.1gh.com xdn.miner.center xmr-au1.nanopool.org xmr-eu.dwarfpool.com xmr-eu.nanopool.org xmr-eu1.nanopool.org xmr-eu2.nanopool.org xmr-jp1.nanopool.org xmr-us-east1.nanopool.org xmr-usa.dwarfpool.com xmr.crypto-pool.fr xmr.f2pool.com xmr.hashinvest.ws xmr.pool.minergate.com xmr.prohash.net xmrpool.eu yescrypt.mine.zpool.ca pxybomb.icu ok.xmr6b.ru eth-ru2.dwarfpool.com eth-eu.dwarfpool.com eth-us.dwarfpool.com eth-us2.dwarfpool.com eth-ru.dwarfpool.com eth-asia.dwarfpool.com eth-cn.dwarfpool.com eth-cn2.dwarfpool.com eth-sg.dwarfpool.com eth-au.dwarfpool.com eth-hk.dwarfpool.com hub.miningpoolhub.com etc-asia1.nanopool.org etc-au1.nanopool.org etc-eu1.nanopool.org etc-eu2.nanopool.org etc-jp1.nanopool.org etc-us-east1.nanopool.org etc-us-west1.nanopool.org eth-asia1.nanopool.org eth-au1.nanopool.org eth-eu1.nanopool.org eth-eu2.nanopool.org eth-jp1.nanopool.org eth-us-east1.nanopool.org eth-us-west1.nanopool.org eu.ubiqpool.io grin29-asia1.nanopool.org grin29-eu1.nanopool.org grin29-eu2.nanopool.org grin29-us-east1.nanopool.org grin29-us-west1.nanopool.org pasc-asia1.nanopool.org pasc-eu1.nanopool.org pasc-eu2.nanopool.org pasc-us-east1.nanopool.org pasc-us-west1.nanopool.org us.ubiqpool.io xmr-asia1.nanopool.org xmr-us-west1.nanopool.org coco.miniast.com iron.tenchier.com cake.pilutce.com pool.boreye.com us-east.equihash-hub.miningpoolhub.com europe.equihash-hub.miningpoolhub.com asia.equihash-hub.miningpoolhub.com ethermine.org etc.ethermine.org zcash.flypool.org ycash.flypool.org beam.flypool.org zec.coinmine.pl zec.2miners.com us-zec.2miners.com asia-zec.2miners.com us-east.ethash-hub.miningpoolhub.com europe.ethash-hub.miningpoolhub.com asia.ethash-hub.miningpoolhub.com us-east.lyra2z-hub.miningpoolhub.com europe.lyra2z-hub.miningpoolhub.com asia.lyra2z-hub.miningpoolhub.com pool.gridcoin.co pool.monero.hashvault.pro pool-fr.supportxmr.com fr04.supportxmr.com pool.supportxmr.com xmr.wulifang.nl fr05.supportxmr.com sim.miniast.com log.miniast.com electrum.vom-stausee.de electrumx.reichster.de 148.251.22.104 fortress.qtornado.com endthefed.onthewifi.com btc.usebsv.com ecdsa.net crypto.no-ip.eu vps4.hsmiths.com dxm.no-ip.biz vps.hsmiths.com caleb.vegas electrum.petrkr.net xtrum.com electrum1.baremetalpittsburgh.net b.1209k.com kirsche.emzy.de b6.1209k.com electrumx-core.1209k.com btc.skynetcloud.site electrumx.alexridevski.net 2azzarita.hopto.org btc.outoftime.co electrum2.baremetalpittsburgh.net electrum.hsmiths.com hodlers.beer electrum5.hodlister.co electrum4.hodlister.co electrum3.hodlister.co electrum6.hodlister.co electrum2.hodlister.co thanos.xskyx.net 52.1.56.181 btc.electroncash.dk electrum.coineuskal.com 0.btc.dev 2ex.digitaleveryware.com electrumx.ddns.net esx.geekhosters.com bitcoin.alephnullptr.net electrum.srvmin.network gall.pro satoshi.fan api.minergate.com bcn.vip.pool.minergate.com cn.minergate.com de.minergate.com eth.vip.pool.minergate.com fcn-bcn.pool.minergate.com fi.minergate.com fr.minergate.com ltc.pool.minergate.com mro.pool.minergate.com rest.minergate.com www.minergate.com zec.pool.minergate.com wsg.minergate.com pl.minergate.com ae.minergate.com aeon.pool.minergate.com br.minergate.com chat.minergate.com cs.minergate.com download-endpoint.minergate.com ru.minergate.com btg.pool.minergate.com minergate.com en.minergate.com m.minergate.com my.minergate.com gr.minergate.com xmr.vip.pool.minergate.com eth.pool.minergate.com forum.minergate.com ko.minergate.com wsw.minergate.com se.minergate.com bcn.pool.minergate.com blog.minergate.com etc.pool.minergate.com rs.minergate.com cwsa.minergate.com xmo-bcn.pro.pool.minergate.com id.minergate.com es.minergate.com xmo.pool.minergate.com ftp.minergate.com hi.minergate.com vip2140.minergate.com india1.ethermine.org asia1.ethermine.org cn1.ethermine.org us1.ethermine.org eu1.ethermine.org us2.ethermine.org eu2.ethermine.org beta.ethermine.org us1-etc.ethermine.org eu1-etc.ethermine.org beta-etc.ethermine.org staging-etc.ethermine.org api-etc.ethermine.org staging.ethermine.org api.ethermine.org www.ethermine.org c64a61bcc8.pw |