Майнинг для улучшения разведки угроз: Пулы криптомайнеров

Криптомайнинг стал популярным способом получения злоумышленниками прибыли от взломанных систем. Установив на хост программное обеспечение для майнинга криптовалюты, злоумышленники могут использовать ресурсы CPU и GPU хоста для "добычи" криптовалюты, которую затем можно обменять на нецифровую валюту или использовать для покупок. Эта атака стала настолько распространенной, что получила свое собственное название - "криптоджекинг".

Важно быстро определить, когда на хосте запущено программное обеспечение для криптомайнинга, чтобы производительность хоста не страдала от высокой загрузки ресурсов. Ключевым показателем является сетевой трафик. Большинство злоумышленников подключают свои майнеры к майнинговому пулу - централизованному серверу, который координирует майнинг между несколькими хостами для совместного использования ресурсов. Майнеры обращаются к серверу пула с определенным интервалом для получения обновлений и отправки данных о добыче.

Но как мы можем обнаружить эти соединения криптомайнеров?

Проблема обнаружения трафика криптомайнинга

Раньше трафик майнинга было легко определить, поскольку большинство серверов пулов прослушивали определенные порты, такие как 3333 или 7777, которые стали ассоциироваться с трафиком криптомайнинга. Однако новые пулы начали использовать другие порты, чтобы избежать обнаружения. Некоторые даже маскируют свои соединения, получая данные через порт 25 или SSL через порт 443. Хотя известные порты по-прежнему используются многими пулами, номер порта сам по себе не является высоконадежным индикатором трафика майнинга. Другие инструменты мониторинга, такие как технологии глубокой проверки пакетов, также могут не выявить майнинговый трафик, зашифрованный через SSL.

Самым простым способом обнаружения трафика криптомайнинга является мониторинг соединений с серверами пулов с помощью списка всех известных IP-адресов серверов пулов для майнинга. Однако полный список майнинговых пулов от поставщиков аналитических данных может быть трудно найти или его вообще не существует, а ведение собственного списка требует много ручной работы и быстро устаревает.

Мы нашли несколько причин, которые могут объяснить, почему разведка угроз пулов криптомайнинга не является широко доступной и сложной для разработки:

  • Сеть криптомайнинга нестабильна. Любой может создать новый майнинговый пул, а существующие пулы могут добавлять новые серверы или менять IP-адреса.
  • Сеть также децентрализована. Не существует единого места, где можно найти информацию о серверах пулов, поскольку для работы протоколов криптомайнинга не требуется знание всех пулов.
  • Знание доменного имени майнингового пула может оказаться недостаточной информацией; майнинговые пулы часто используют различные поддомены для отдельных серверов пула. У майнингового пула может быть много разных серверов для размещения различных криптовалют или балансировки нагрузки по регионам, и эту информацию обычно можно найти только на сайте майнингового пула.

Способы решения

1. Перечисление активных пулов

Первым шагом является сбор списка активных майнинговых пулов. Существует несколько публичных сайтов, которые собирают статистику от майнинговых пулов различных криптовалют.

2. Перечисление веб-сайтов майнинговых пулов

Сайты майнинговых пулов обычно содержат информацию о том, как подключить майнера к пулу, где подробно указывается домен или IP-адрес сервера пула, который нужно использовать в конфигурации майнера. Мы заметили, что некоторые сайты используют похожие веб-фреймворки и хранят информацию в одном и том же месте.

3. Перечисление поддоменов майнинга

Если мы не можем найти домены серверов пула на сайте, мы можем попытаться найти их другим способом.

Домен веб-сайта майнингового пула часто не совпадает с доменом отдельных серверов пула, которые получают трафик для майнинга. Большинство доменов серверов пула следуют аналогичному соглашению об именовании, основанному на домене сайта пула:

Домен сайта пула Домен сервера пула
f2pool.com xmr.f2pool.com
nanopool.org xmr-us-west1.nanopool.org
miningpool.fun xmr.miningpool.fun
2miners.com xmr.2miners.com
hashcity.org xmr.hashcity.org
hashvault.pro pool.hashvault.pro
minexmr.com pool.minexmr.com
supportxmr.com pool.supportxmr.com

Большинство доменов серверов пула состоят из домена сайта, дополненного определенными строками. Эти поддомены обычно содержат ключевые слова, которые ссылаются на криптовалюту или криптомайнинг в целом.

Список различных майнинг пулов

Понравилась статья? Поделиться с друзьями:
Добавить комментарий