최근 몇 년 동안, telegram 의 중국어 버전 다운로드 사이트가 어떤 블록체인 등 기술과 제품의 발전인지, telegram 의 중국어 버전 다운로드 사이트가 어떤 가치가 계속 높아지고 있기 때문에 DDoS 공격이나 스팸메일을 보내는 좀비 네트워크가 또 다른 새로운 실현 경로를 볼 수 있게 됐다. telegram 의 중국어 버전 다운로드 사이트가 어떤’ 광산 발굴’ 인지. 따라서 일부 함락된 호스트들은 종종 광산 목마에 이식되어 몰래 서버 자원을 소비하여 광산을 캐기 시작하는데, 심지어 기업의 내귀신도 서버에 광산 목마를 설치해 방비하기 시작한다.

　　기업으로서 광산 발굴과 같은 피해 행위를 어떻게 탐지할 수 있습니까? 실제로 광산 목마 자체는 전통적인 트로이 목마 탐지 아이디어와 일치하는 프로그램이며 트래픽 계층 또는 호스트 계층에서 시작됩니다.

　　2.1 광산 파기 협정

　　광산기계와 광산지 간의 통신은 특정 협의를 따라야 한다. 현재 주류 광산협정은 스트럼 프로토콜이며, 오래전부터 GBT(getblocktemplate) 프로토콜과 getwork 프로토콜이 있었지만 대역폭과 성능 소비가 많아 7, 8 년 전부터 새로운 광산기에 버려졌다 [1

　　Stratum 프로토콜로 돌아가면 2012 년에 출시되었으며, getwork 프로토콜을 기반으로 발전하여 getwork 프로토콜의 비효율 문제를 해결했습니다 [2]. Stratum 에서 광산 채굴기와 광산 풀 간에 TCP 로 데이터를 전송하는데, 데이터 전송 프로세스는 JSON-RPC (무상태형 경량 원격 프로시저 호출 RPC 전송 프로토콜) 를 기반으로 합니다. 광산기는 다음 8 개의 릴리즈를 사용하여 광산에 데이터를 보낼 수 있습니다.

　　광산지는 광산기에 다음 7 가지 방법을 사용하여 데이터를 전송할 수 있습니다.

　　Stratum 프로토콜을 사용하는 광산 기계의 전반적인 작업 흐름은 다음과 같습니다.

　　(1) 광산 기계 임무 구독

　　광기 = > 광조: mining.subscribe

　　수영장 = > 광기: mining.notify

　　(2) 광산 기계 인증

　　광기 = > 광조: mining.authorize

　　광지 = > 광기: 인증 결과, true 또는 false 를 반환합니다

　　(3) 난이도 및 extranonceing.set_extranonce 를 설정하고 광산 작업에 대해 알립니다

　　광풀 = > 광기: mining.set_difficulty, mining.set_extranonce, mining.notify

　　(4) 광산 기계 제출 결과

　　광기 = > 광조: mining.submit

　　광지 = > 광기: 결과 수락 여부, true 또는 false 를 반환합니다

　　주목할 만하게도, 위는 표준 Stratum 으로, slush pool (가장 큰 BTC 광산지) 이 [3] 을 제시했습니다. 암호화 통화의 종류가 다양하기 때문에 암호화 통화에 따라 사용되는 통신 프로토콜이 부분적으로 다를 수 있습니다. 예를 들어, 일반적인 XMR (먼로 통화) 광산 프로그램 xmrig[4], xmr-stak[5] 는 위의 프로토콜을 수정합니다. 먼로화폐는 위의 프로세스를 간소화하여 login 방법을 통해 인증과 가입을 진행했다. 광산지단은 login 정보를 받은 후 검증을 통과하면 바로 임무가 내려진다. 이렇게 하면 표준 Stratum 프로토콜의 3 차 통신이 한 번에 압축되어 통신 트래픽이 크게 줄어든다.

　　2.2 프로토콜 감지

　　먼저 실제 광산 채굴량이 어떤 모습인지 살펴봅시다.

　　BTC 광산은 표준 Stratum 프로토콜을 채택하고 있으며, 전송 데이터는 표준 JSON 형식이며, mining.subscribe, mining.authorize 등과 같이 비교적 뚜렷한 방법으로 식별됩니다. XMR 광산 트래픽은 위의 프로세스를 단순화합니다. 패킷은 로그인 패키지와 제출 패키지의 두 가지 범주로 나뉩니다. 이 두 가방도 뚜렷한 특징을 가지고 있습니다.

　　(1) 첫 번째는 jsonrpc 의 버전 ID 가 있는데, 이것은 필수적이다.오피스타 공식 입구 방법은 어디입니까

　　(2)id 필드 요청 및 응답은 동일하며 점진적으로 증가합니다.

　　(3) login, submit, params, seed_hash 등과 같은 뚜렷한 피쳐 필드가 있습니다.

　　이러한 피쳐의 경우 피쳐 엔지니어링을 통해 규칙을 설정하여 용도에 맞게 탐지할 수 있습니다. 광산 파기 행위 자체의 특성으로 인해 하루 중 로그인과 인증가방이 적고, 가방과 임무를 제출하는 가방이 많아 이런 종이항공기 공식 홈페이지의 다운로드 장소가 얼마나 되는지에 맞게 최적화될 수 있다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 예술명언)

　　2.3 대결 탐지

　　광산기와 광산 풀 통신에 대한 프로토콜 탐지는 일반 텍스트 통신에만 적용될 수 있으며, 현재 대부분의 광산 풀은 암호화 통신을 지원합니다.

　　프로토콜 암호화는 향후 IDS 에서 해결해야 할 문제입니다. 암호화 전송의 경우 종이 항공기의 공식 다운로드 방법을 통해 핸드쉐이킹 프로토콜과 인증서 두 가지 수준에서 뭔가를 할 수 있는 방법을 찾을 수 있다. (존 F全球排名第一오피스타공식 이란 무엇입니까?. 케네디, Northern Exposure (미국 TV 드라마), 암호화명언) 광산을 파는 특수성으로 인해 광산지의 도메인 이름, 증명서는 쉽게 변하지 않을 것이며, 광산지의 집결 속성, 즉 큰 광산이 모이는 광산기가 많을수록 수익의 안정성을 보장할 수 있다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 광산명언) 따라서 순위가 비교적 높은 광산에 대한 도메인 이름과 인증서 수집을 위해 표적된 테스트 전략을 추가할 수도 있습니다.

　　셋째, 호스트

　　초기 광산 목마는 호스트를 감염시킨 후 CPU 및 GPU 자원을 크게 차지하는 것이 특징이다. 주로 CPU 및 GPU 활용도, 응답 속도 저하, 충돌 또는 빈번한 재시작, 시스템 과열, 비정상적인 네트워크 활동 (예: 연결 광산 관련 도메인 이름 또는 IP) 등이 포함됩니다.

　　대결의 깊숙한 곳과 블록 체인 기술의 업그레이드와 함께 광산은 더욱 은폐된 CPU/GPU 점유를 취하여 사용자가 발견하지 못하게 하고, 동시에 하드 디스크 공간과 인터넷 대역폭을 점유하여 광산을 파는 telegram 의 중국어 버전 다운로드 사이트가 나타났으며, CPU 는 매우 높은 사용률을 보여주지 않고 오히려 하드 드라이브가 큰 공간을 차지하며, 비교적 대표적인 통화는 Filecoin 이다

　　수년간의 진화 끝에 광산 목마 공격 호스트를 발굴하는 수법이 점점 다양해지고 정교해졌지만, 공격 과정에는 큰 변화가 없었고, 전반적으로 세 단계로 나뉘었다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 목마, 목마, 목마, 목마, 목마)

　　(1) 공격자는 호스트나 서비스 허점을 이용해 광산 목마를 업로드하는 데 필요한 권한을 얻는다. 무단 액세스 취약성, 웹 서비스 원격 코드 실행 취약성, 서버 시스템 구성 요소 취약성 등

　　(2) 공격자가 광산 목마를 피해 호스트에 업로드한 후 트로이 목마 프로그램을 시작하면 자동으로 지속적인 운영과 자체 숨김이 이뤄진다.

　　(3) 광산 목마를 발굴해 수익을 극대화하기 위해 인트라넷 탐지 스캔, 비밀번호 폭파 등을 이용해 다른 잠재적 피해 대상 호스트를 찾아내 인트라넷 호스트 간에 광범위하게 전파한다

　　전체 공격 과정에서 호스트 수준 감지는 위의 세 단계 모두에서 적절한 진입 점을 가지며 일반적으로 프로세스 특성, 네트워크 연결, 파일 특성 등 여러 차원에서 감지됩니다.

　　첫 번째 단계에서 공격자는 알려진 취약점을 이용하여 호스트를 자동으로 공격하고, 공격이 성공한 후, 명령 실행 등을 통해 광산 목마 실행을 다운로드하고, 시스템에 다른 광산 발굴 프로세스가 실행되고 있는지 확인하며, 만약 있다면 종료하고, 광산 자원을 독점하고 있는지 확인한다. 일반적인 광산 목마 스크립트 명령 실행 체인의 분석을 통해 이러한 예외를 쉽게 찾을 수 있습니다.

　　2 단계에서는 광산 목마를 피해 호스트에 이식하고, 일반적으로 계획 임무를 기록하여 지속성을 실현하고 광산을 파기 시작한다.

　　광산목마는 광산을 파낼 때 광산지에 대한 DNS 조회와 IP 연결을 한다. 수집된 공개 광산 풀 도메인 이름과 IP 를 비교해 트로이 목마가 네트워크에 연결될 때 효과적으로 경고할 수 있다. 물론, 이것은 민간 광산 풀을 연결하는 광산 목마를 감지할 수는 없지만, 공개 광산 풀을 연결하는 광산 목마에 대해서는 좋은 검사 능력을 가지고 있다. 아래와 같이, 이것은 수집된 일부 공개 광산 풀 주소이다.

　　명령 실행 체인과 호스트 네트워크 연결 정보 감지 외에도 대부분의 광산 목마가 호스트에 착지한다. 대량의 광산 목마 샘플을 수집하거나, 정적 검사 규칙을 추출하거나, 기계 학습을 사용하여 테스트 모델을 훈련시켜 잠재적인 광산 목마를 발견한다. 예를 들어 코헨 연구소의 BianryAI 엔진은 비슷한 방법 [6] 입니다.

　　3 단계에서는 광산 목마를 발굴해 이익을 극대화하기 위해 옆으로 이동하여 더 많은 기계에 감염되기 시작했다. 고급 광산 목마는 일반적으로 암호 라이브러리와 스캔 폭파 기능을 갖추고 있어 같은 네트워크 세그먼트에 상륙한 호스트를 폭파하는 데 사용된다. 이 부분은 동서 유량 감지 및 HIDS 를 통해 발견할 수 있다.

　　4.1 위협 정보

　　이용할 수 있는 취약점의 수 (그리고 패치 업데이트가 계속 수렴되기 때문), 네트워크 자원의 총량, 심지어 좀비 네트워크가 서로 경쟁하는 이유라도, 동시에 네트워크에 존재하는 좀비 네트워크의 수는 사실상 제한되어 있다. 위협 정보 공유를 기반으로 하는 경우, 네트워크와 컴퓨팅 자원이 비교적 풍부한 각 대형 인터넷 회사, 그리고 전자종이 비행기의 중국어 버전 다운로드 포털이 어디에 있는지 통신업체에서 제공하는 정보는 현망의 주요 광산 목마 네트워크를 거의 덮을 수 있다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 인터넷명언)

　　TSRC 는 과거 블로그에서도 트로이 목마와 좀비 네트워크의 IOC 정보를 많이 공유했다. "클라우드 게임-트로이 목마 도살성" [7] 기사에서 볼 수 있듯이, 일반적으로 활발한 좀비 네트워크는 몇 가지 고정 버전이나 뚜렷한 가족 특징을 가지고 있습니다. BORG: 빠르게 진화하는 좀비 네트워크’ [8] 에서 볼 수 있듯이 좀비 네트워크의 활약도는 0day1day 의 인터넷 존재 주기와 관련이 있으며 좀비 네트워크도 진화하고 있지만 가족 특성도 있어 여전히 위협 정보 연관을 통해 탐지와 타격을 받을 수 있다.

　　4.2 자금 체인

　　Telegram 의 중국어판에 다운로드된 사이트가 익명성과 탈 중심화 특징을 가지고 있지만 대량의 허위화폐가 실현될 필요가 있다면 자금과 관련된 활동 흔적이 남아 있을 것이다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 스포츠명언)

　　올해 초 화폐권에는 이른바’ 공중 투하’ (새로운 telegram 의 중국어판 다운로드 사이트가 어떤 자금 모집 행위인지) 열풍이 일었다. 이들 대부분은 사기꾼으로, 개인 투자자자금을 모집한 뒤 상장거래를 전혀 하지 않았다. 필자는 몇 개의’ 공중 투하’ 사건을 추적한 적이 있는데, 그 모금된’ 자금 (종이비행기 중국어판 다운로드 입구가 어떤 토큰인지)’ 이 결국 몇 개의 큰 계좌로 유입되어 거래소로 갔다. 그럼 거래소에 가면 어떻게 추적하나요? 다음 사례를 살펴 보겠습니다.

　　2020 년 8 월 27 일, 어느 나라는 소송을 통해 해커가 암호화된 디지털 통화거래소에 침입하여 훔친 자금을 추징했다.

　　소송서에 따르면 법 집행관은 블록 체인을 분석하여 특정 BTC/ETH 주소의 소유자를 식별합니다. 예를 들어, 해커는 여러 BTC 주소를 만들어 서로 다른 주소에서 BTC 를 수신할 수 있으며, 해커가 수신된 BTC 를 처리하려고 할 때 수집 및 연관이 발생할 수 있습니다. 법 집행 부서는 여러 가지 다른 블록 체인 분석 회사에서 제공하는 비즈니스 서비스를 사용하여 telegram 의 중국어 버전 다운로드 사이트가 어떤 거래인지 조사합니다. 이 회사들은 BTCtelegram 의 중국어 버전 다운로드 사이트가 어떤 거래 뒤의 데이터인지 분석하고, 대형 데이터베이스를 만들고, 데이터베이스에서 데이터 상관 관계를 유도하고, 결국 어느 나라 해커의 절도 행위와 자금 흐름을 추적했습니다. " 소송서에 따르면 법 집행관은 블록 체인을 분석하여 특정 BTC/ETH 주소의 소유자를 식별합니다. 예를 들어, 해커는 여러 BTC 주소를 만들어 서로 다른 주소에서 BTC 를 수신할 수 있으며, 해커가 수신된 BTC 를 처리하려고 할 때 수집 및 연관이 발생할 수 있습니다. 법 집행 부서는 여러 가지 다른 블록 체인 분석 회사에서 제공하는 비즈니스 서비스를 사용하여 telegram 의 중국어 버전 다운로드 사이트가 어떤 거래인지 조사합니다. 이 회사들은 BTCtelegram 의 중국어 버전 다운로드를 통해 다운로드한 telegram Computer edition 의 다운로드 사이트가 어떤 사이트가 어떤 거래 뒤에 있는 데이터를 분석하고, 대형 데이터베이스를 만들고, 데이터베이스에서 데이터 상관 관계를 유도하고, 결국 어느 나라 해커의 절도 행위와 자금 흐름을 추적했습니다. "

　　네트워크 계층의 이지스 트래픽 보안 분석이든 호스트 계층의 양파 EDR 이든, 우리는 광산 목마 탐지를 테스트하는 데 많은 노력을 기울였습니다. 자신의 업무의 안전과 안정성을 보호하고, 보안 제품 기능 출력을 통해 클라우드 고객에게 보안 보장을 제공합니다. (예: 이러한 능력은 이미 텅스텐구름 호스트 보안 제품’ 구름거울’ 에 통합되었습니다.), 광산 관리는 전 업계의 협력이 필요하니, 여러분과 함께 협력 해결을 검토해 주시기 바랍니다.

　　참고

　　[1] https://bitcointalk.org/index.php? Topic=288963.0

　　[2] https://ko.braiins.com/stratum-v1

　　[3] https://braiins.com/stratum-v1/docs

　　[4] https://xmrig.com/

　　[5] https://github.com/fireice-uk/xmr-stak

　　[6] 텐센트 호스트 보안 (구름거울) 무기고: 광산 목마를 자르는 칼-비나리 ai 엔진

　　[7] 클라우드 게임-트로이 목마 도살 도시

　　[8] 버그: 빠르게 진화하는 좀비 네트워크

　　[9] 국가는’ 광산 발굴’ 의 정비력을 업그레이드하고, 텐센트 어계 NDR 은 반제’ 광산 발굴’ 목마를 돕는다

　　저자: [텐센트 양파 HIDS 팀] xti9er, 7 박, [텐센트 이지스 유량 감지 시스템] Pav1