Измерение и анализ майнинга криптовалют в публичных облаках

1. Введение

Криптовалюты, как ключевое приложение технологии блокчейн, демонстрируют экспоненциальный рост и получают широкое распространение. Фундаментальным компонентом этой экосистемы является mining pool— коллектив майнеров, объединяющих вычислительные ресурсы для повышения вероятности получения вознаграждений за блоки, которые затем распределяются пропорционально. Хотя криптовалюты предлагают множество преимуществ, их псевдоанонимная и децентрализованная природа также способствует злонамеренной деятельности, такой как выплаты выкупа при ransomware-атаках и скрытые операции командования и управления (C2). В данной статье исследуется критическое пересечение пулов майнинга криптовалют и публичной облачной инфраструктуры с целью анализа их взаимосвязей, оценки уязвимостей безопасности и моделирования их базовой динамики.

Основная гипотеза заключается в том, что злоумышленники всё чаще используют ресурсы публичных облаков для майнинга криптовалют из-за их масштабируемости, гибкости и потенциала для злоупотреблений (например, через скомпрометированные инстансы). Этот сдвиг представляет собой конвергенцию современных тенденций в области вычислений и интересов злоумышленников, переход от отслеживаемых частных серверов к эфемерным, облачным фронтам атак.

2. Methodology & Data Collection

Исследование использует пассивный, наблюдательный подход на основе данных сетевой разведки.

3. Key Findings & Statistical Analysis

4. Technical Framework & Mathematical Modeling

Наблюдаемое предпочтительное присоединение может быть смоделировано математически. Пусть $G(t)$ — граф сети в момент времени $t$, где узлы представляют облачных провайдеров и майнинг-пулы, а рёбра — наблюдаемые ассоциации. Вероятность $\Pi(k_i)$ того, что новое соединение будет установлено с узлом $i$, пропорциональна его текущей степени $k_i$:

$$

Кроме того, риск безопасности $R_c$ для облачного провайдера $c$ можно концептуализировать как функцию от объема его ассоциаций $V_c$ и доли вредоносных ассоциаций $M_c$:

$$

5. Experimental Results & Charts

График 1: Доля ассоциации облачных провайдеров. Круговая диаграмма или гистограмма визуально доминировали бы в анализе, показывая, что AWS и GCP в совокупности занимают ~48% доли ассоциации, за которыми следует длинный хвост других провайдеров (Microsoft Azure, Alibaba Cloud, DigitalOcean и т.д.), составляющих оставшиеся 52%.

График 2: Логарифмический график распределения степеней. Ключевым экспериментальным результатом является логарифмический график распределения степеней узлов. На графике будет изображена прямая линия с отрицательным наклоном, подтверждающая степенное, тяжелохвостое распределение $P(k) \sim k^{-\gamma}$. Этот график является прямым доказательством работы механизма предпочтительного присоединения.

График 3: Доля вредоносных конечных точек для ведущих провайдеров. Сгруппированная столбчатая диаграмма, сравнивающая AWS и GCP, показывает, что примерно 35% конечных точек, связанных с AWS, и 30% конечных точек, связанных с GCP, были помечены как вредоносные, что дает количественную оценку риска безопасности.

6. Аналитическая структура: Пример исследования

Кейс: Отслеживание предполагаемой операции криптоджекинга

Шаг 1 - Идентификация начальной точки: Начните с известного вредоносного бинарного файла майнера или домена из потока данных угроз (например, `malicious-miner-pool[.]xyz`).

Шаг 2 - Расширение pDNS: Запросите данные pDNS для всех IP-адресов (записи `A`), связанных с исходным доменом за последние 6 месяцев.

Шаг 3 - Определение облачного провайдера: Для каждого разрешенного IP-адреса выполните WHOIS-запрос и сопоставление ASN. Отфильтруйте диапазоны IP-адресов, принадлежащих крупным CSP (например, AWS `us-east-1`).

Шаг 4 - Построение графа: Смоделируйте данные как двудольный граф: один набор узлов — это домены пулов майнинга, другой — блоки IP-адресов CSP. Ребро существует, если домен разрешался в IP-адрес из этого блока.

Step 5 - Anomaly Detection & Risk Scoring:

• Всплеск объема: Обнаружение, если конкретный блок IP-адресов CSP внезапно разрешает сотни новых, недолговечных доменов майнеров — признак крупномасштабного автоматизированного развертывания.
• Вредоносная корреляция: Сопоставьте все обнаруженные домены с помощью VirusTotal API. Рассчитайте показатель риска: $\text{Оценка} = \frac{\text{\# Вредоносных доменов}}{\text{Всего доменов}} \times \log(\text{Всего уникальных IP})$.
• Временной анализ: Наблюдайте, перемещается ли майнинговая активность от одного CSP к другому после уведомления о прекращении работы, что указывает на устойчивость противника.

Результат: Данная система способна выявлять не только отдельные вредоносные экземпляры, но и схемы злоупотреблений в облачной инфраструктуре, позволяя направлять целевые оповещения командам безопасности CSP о конкретных IP-блоках с высоким уровнем риска.

7. Future Applications & Research Directions

Proactive Threat Hunting for CSPs: Облачные провайдеры могут интегрировать аналогичный анализ pDNS в свои внутренние центры безопасности (SOC) для проактивного выявления и блокировки ресурсов, используемых для незаконного майнинга, что снижает уровень злоупотреблений и сохраняет инфраструктуру для законных клиентов.

Blockchain Analytics Integration: В будущих исследованиях следует объединить данные о транзакциях в блокчейне с внешней IP-аналитикой. Сопоставляя адреса для получения майнинговых вознаграждений с конечными точками пулов, размещенных в облаке, исследователи смогут отслеживать финансовые потоки доходов от криптоджекинга, используя методики, аналогичные применяемым компаниями Chainalysis и Elliptic.

3. Обнаружение на основе поведенческого анализа с использованием ИИ: Модели машинного обучения можно обучить на основе сетевых шаблонов и моделей потребления ресурсов (нагрузка на CPU/GPU, сетевой трафик к известным пулам) облачных инстансов для обнаружения майнингового вредоносного ПО в реальном времени, аналогично тому, как работают инструменты обнаружения и реагирования на конечных точках (EDR), но на уровне гипервизора.

4. Policy & Regulatory Implications: Данное исследование выявляет пробел в данных. Регуляторные органы могут рассмотреть требование к поставщикам облачных услуг (CSPs) предоставлять агрегированные показатели по трафику, связанному с майнингом криптовалют, подобно отчетам о финансовых операциях, чтобы повысить прозрачность экосистемы и противодействовать незаконному финансированию, как это предлагается в рамках Financial Action Task Force (FATF).

5. Исследование активов следующего поколения: Как отмечалось, происходит переход к валютам метавселенных. Будущие исследования должны расширить анализ на майнинговые пулы для приватных монет (например, Monero, Zcash) и новые активы на основе Proof-of-Work, связанные с виртуальными мирами и децентрализованными сетями физической инфраструктуры (DePIN).

8. References

1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
2. Barabási, A. L., & Albert, R. (1999). Emergence of scaling in random networks. Наука, 286(5439), 509-512.
3. Möser, M., et al. (2018). An Empirical Analysis of Traceability in the Monero Blockchain. Proceedings on Privacy Enhancing Technologies.
4. Vasek, M., & Moore, T. (2015). There's no free lunch, even using Bitcoin: Tracking the popularity and profits of virtual currency scams. In Financial Cryptography and Data Security.
5. Financial Action Task Force (FATF). (2021). Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers.
6. Zhu, J. Y., et al. (2017). Перевод изображений между доменами без парных примеров с использованием циклически-согласованных состязательных сетей. Труды Международной конференции IEEE по компьютерному зрению (ICCV). (CycleGAN как методологическая аналогия для отображения между доменами).
7. Cloud Security Alliance (CSA). (2022). Основные угрозы облачным вычислениям: 11 вопиющих проблем.
8. VirusTotal. (n.d.). Документация по API Google VirusTotal. Retrieved from https://developers.virustotal.com/

9. Original Analysis & Expert Commentary