Kripto paralar, blockchain teknolojisinin önde gelen bir uygulaması olarak, üstel büyümeye ve ana akım benimsemeye tanık olmuştur. Bu ekosistemin temel bir bileşeni, mining pool—blok ödüllerini kazanma olasılığını artırmak için hesaplama kaynaklarını birleştiren ve kazanılan ödülleri orantılı olarak dağıtan madenciler topluluğudur. Kripto paralar çok sayıda fayda sunarken, takma adlı ve merkeziyetsiz doğaları aynı zamanda fidye yazılımı ödemeleri ve gizli komuta-kontrol (C2) operasyonları gibi kötü niyetli faaliyetleri de kolaylaştırır. Bu makale, kripto para madencilik havuzları ile kamu bulut altyapısı arasındaki kritik kesişimi araştırmakta, bunların ilişkilerini profillemeyi, güvenlik açıklarını ölçmeyi ve altta yatan dinamiklerini modellemeyi amaçlamaktadır.
Temel hipotez, kötü niyetli aktörlerin ölçeklenebilirlik, esneklik ve kötüye kullanım potansiyeli (örn., ele geçirilmiş örnekler üzerinden) nedeniyle kripto para madenciliği için kamu bulut kaynaklarını giderek daha fazla kullandığıdır. Bu değişim, izlenebilir özel sunuculardan geçici, bulut tabanlı saldırı cephelerine doğru ilerleyerek, modern hesaplama eğilimleri ile kötü niyetli teşviklerin bir birleşimini temsil etmektedir.
Çalışma, ağ istihbarat verilerine dayalı pasif, gözlemsel bir yaklaşım kullanmaktadır.
Temel metodoloji, analiz etmeyi içerir. pasif Alan Adı Sistemi (pDNS) izleripDNS verileri, DNS sorgularının ve çözümlemelerinin tarihsel kayıtlarını sağlayarak araştırmacıların alan adlarını zaman içinde IP adresleriyle eşlemesine ve varlıklar arasındaki ilişkileri (örneğin, madencilik havuzu alan adları ve bulut sağlayıcı IP aralıkları) belirlemesine olanak tanır.
Veriler, büyük ölçekli pDNS veri kümelerinden toplanmıştır. Madencilik havuzu alan adları, halka açık listeler ve blockchain istihbarat kaynakları aracılığıyla tespit edilmiştir. Bu alan adlarından çözümlenen IP adresleri, daha sonra ilgili Otonom Sistem Numaralarına (ASN) ve kurumsal sahiplerine eşlenerek bulut hizmet sağlayıcıları (CSP'ler) belirlenmiştir. Güvenlik itibar verileri, kötü amaçlı ilişkileri değerlendirmek için VirusTotal çapraz referans alınmıştır.
24
Madencilik havuzlarıyla ilişkilendirilen benzersiz bulut sağlayıcıları bulundu.
~%48
Amazon (AWS) ve Google Cloud ile bağlantılı derneklerin.
%30-35
VirusTotal'da kötü amaçlı olarak işaretlenmiş ilişkili uç noktalar.
Analiz, şunu ortaya çıkardı: 24 farklı genel bulut sağlayıcısı DNS çözümleme yolları aracılığıyla kripto para madencilik havuzlarıyla gözlemlenebilir ilişkilere sahiptir. Piyasa oldukça yoğunlaşmış durumdadır; Amazon Web Services (AWS) ve Google Cloud Platform (GCP) gözlemlenen tüm ilişkilerin neredeyse yarısını (%48) oluşturmaktadır. Bu, madencilerin ve potansiyel kötü niyetli aktörlerin, muhtemelen geniş küresel altyapıları, güvenilirlikleri ve meşru trafikle karışmanın kolaylığı nedeniyle, büyük ve yerleşik sağlayıcıları tercih ettiğini göstermektedir.
Hem bulut sağlayıcı varlığının hem de madencilik havuzlarına bağlantı (ilişkilendirme) sayısının dağılımı, ağır kuyruklu bir dağılım, ölçeksiz ağların karakteristiğini izler. Bu örüntü, doğasında var olan bir tercihli bağlanma modelini: popüler madencilik havuzları, büyük bulut sağlayıcılarıyla yeni ilişkiler kurmaya daha yatkındır ve bunun tersi de geçerlidir; bu da "zengin daha da zenginleşir" dinamiklerini yaratır. Bu durum, sosyal medyadan atıf grafiklerine kadar diğer teknolojik ağlarda gözlemlenen büyüme modellerini yansıtır.
A significant security finding is the high rate of malicious association. Among the endpoints (IPs/domains) associated with the top two cloud providers (AWS & GCP), %30-35'i pozitif olarak tespit edildi VirusTotal taramalarına dayanarak kötü amaçlı faaliyetlerle bağlantılı olarak. Bu yüksek yüzde, bulut tabanlı madenciliğin yalnızca meşru bir ticari faaliyet olmadığını, aynı zamanda kripto kaçakçılığı, ele geçirilmiş kaynaklar ve diğer siber suç biçimleriyle yoğun bir şekilde iç içe geçtiğini vurgulamaktadır. Makale ayrıca madenciliğe yönelik bir kaymaya dikkat çekmektedir. Metaverse ile ilgili para birimleri, gelişen düşmanca teşvikleri gösterir.
Gözlemlenen tercihli bağlanma matematiksel olarak modellenebilir. $G(t)$, $t$ zamanındaki ağ grafiği olsun; burada düğümler bulut sağlayıcıları ve madencilik havuzlarını, kenarlar ise gözlemlenen ilişkileri temsil eder. $i$ düğümüne yeni bir bağlantı kurulma olasılığı $\Pi(k_i)$, mevcut derecesi $k_i$ ile orantılıdır:
$$
Ayrıca, bir bulut sağlayıcısı $c$ için güvenlik riski $R_c$, onun ilişki hacmi $V_c$ ve bu ilişkilerin kötü niyetli oranı $M_c$'nin bir fonksiyonu olarak kavramsallaştırılabilir:
$$
Grafik 1: Cloud Provider Association Payı. Bir pasta grafiği veya çubuk grafik, analizi görsel olarak domine ederek AWS ve GCP'nin birlikte yaklaşık %48'lik birlik payını elinde tuttuğunu, ardından kalan %52'yi oluşturan diğer sağlayıcıların (Microsoft Azure, Alibaba Cloud, DigitalOcean, vb.) uzun bir kuyruğunu gösterecektir.
Grafik 2: Derece Dağılımı Log-Log Grafiği. Önemli bir deneysel sonuç, düğüm derece dağılımının log-log grafiğidir. Grafik, negatif eğimli düz bir çizgi gösterecek ve bu da $P(k) \sim k^{-\gamma}$ güç yasası, ağır kuyruklu dağılımını doğrulayacaktır. Bu grafik, iş başındaki tercihli bağlanma mekanizmasının doğrudan kanıtıdır.
Grafik 3: En Büyük Sağlayıcı Başına Kötü Amaçlı Uç Nokta Oranı. AWS ve GCP'yi karşılaştıran gruplandırılmış bir çubuk grafik, AWS ile ilişkili uç noktaların yaklaşık %35'inin ve GCP ile ilişkili uç noktaların yaklaşık %30'unun kötü amaçlı olarak işaretlendiğini göstererek, güvenlik riskinin ölçülebilir bir göstergesini sunar.
Vaka: Şüpheli Bir Cryptojacking Operasyonunun İzlenmesi
Adım 1 - Başlangıç Noktası Tespiti: Tehdit istihbaratı kaynağından (örneğin, `malicious-miner-pool[.]xyz`) alınan bilinen kötü amaçlı bir coin madencisi ikili dosyası veya bir alan adı ile başlayın.
Adım 2 - pDNS Genişletme: Son 6 ayda tohum alan adıyla ilişkili tüm IP adresleri (`A` kayıtları) için pDNS verilerini sorgula.
Adım 3 - Bulut Atıfı: Çözümlenen her IP için bir WHOIS sorgusu ve ASN eşlemesi yapın. Büyük CSP'lere (örneğin, AWS `us-east-1`) ait IP aralıklarını filtreleyin.
Adım 4 - Grafik Oluşturma: Veriyi iki kısımlı bir grafik olarak modelleyin: düğüm kümelerinden biri madencilik havuzu alan adları, diğeri CSP IP bloklarıdır. Bir alan adı, o bloktaki bir IP'ye çözümlenmişse bir kenar mevcuttur.
Step 5 - Anomaly Detection & Risk Scoring:
Sonuç: Bu çerçeve, yalnızca tek tek kötü niyetli örnekleri değil, bulut altyapısı genelindeki kötüye kullanım kalıplarını da tespit edebilir ve böylece Bulut Hizmet Sağlayıcılarının güvenlik ekiplerine belirli yüksek riskli IP blokları hakkında hedefli uyarılar sağlanmasını mümkün kılar.
CSP'ler için Proaktif Tehdit Avcılığı: Bulut sağlayıcıları, benzer pDNS analizini kendi dahili güvenlik operasyon merkezlerine (SOC) entegre ederek yasa dışı madencilik için kullanılan kaynakları proaktif bir şekilde tespit edip askıya alabilir, böylece kötüye kullanımı azaltır ve meşru müşteriler için altyapıyı korur.
2. Blockchain Analytics Integration: Gelecek çalışmalar, blok zinciri üzerindeki işlem verilerini bulut dışı IP istihbaratı ile birleştirmelidir. Madencilik ödül adreslerini bulut barındırmalı havuz uç noktaları ile ilişkilendirerek araştırmacılar, cryptojacking gelirlerinin finansal akışını izleyebilir; bu teknik, Chainalysis ve Elliptic tarafından kullanılanlara benzer.
3. Yapay Zeka Destekli Davranış Tespiti: Makine öğrenimi modelleri, bulut örneklerinin ağ ve kaynak tüketim modelleri (CPU/GPU yükü, bilinen havuzlara ağ trafiği) üzerinde eğitilerek, madencilik zararlı yazılımlarını gerçek zamanlı tespit edebilir; bu, uç nokta algılama ve yanıt (EDR) araçlarının çalışma şekline benzer ancak hipervizör seviyesinde.
4. Policy & Regulatory Implications: Bu araştırma bir veri açığını ortaya koymaktadır. Mali Eylem Görev Gücü (FATF) çerçevelerinde önerildiği gibi, düzenleyici kurumlar ekosistem şeffaflığını artırmak ve yasa dışı finansla mücadele etmek için CSP'lerin kripto para madenciliği trafiğine ilişkin toplu metrikleri raporlamasını talep etmeyi düşünebilir; tıpkı finansal işlem raporlarında olduğu gibi.
5. Yeni Nesil Varlıkların İncelenmesi: Belirtildiği gibi, Metaverse para birimlerine doğru bir geçiş yaşanmaktadır. Gelecekteki araştırmalar, gizlilik odaklı coin'lerin (ör. Monero, Zcash) ve sanal dünyalara ile merkeziyetsiz fiziksel altyapı ağlarına (DePIN) bağlı yeni Proof-of-Work varlıklarının madencilik havuzlarına yönelik analizi genişletmelidir.
Temel İçgörü
Bu makale yalnızca bulutta kripto madenciliği ile ilgili değil; merkezi, ölçeklenebilir ve isteğe bağlı modern bilgi işlem mimarisinin, sıklıkla kötü niyetle, merkezi olmayan ve kaynak yoğun blok zinciri ekonomisini beslemek için nasıl ele geçirildiğinin çarpıcı bir ifşasıdır. Gözlemlenen faaliyetin neredeyse yarısının AWS ve Google Cloud üzerinden gerçekleştiği bulgusu, "bulut tarafsızlığı"nın düşmanca bir ortamda bir efsane olduğuna dair şimdiye kadarki en ağır kanıttır. Büyük CSP'ler, farkında olmadan fakat orantısız bir şekilde, hem meşru hem de yasa dışı madencilik operasyonlarının temel taşıdır. Bu, büyük bir asimetri yaratır: savunanlar geniş, paylaşılan bir saldırı yüzeyini güvence altına almak zorundayken, saldırganlar geçici bulut kaynaklarının çevikliğinden ve anonimliğinden yararlanır.
Mantıksal Akış
Yazarların mantığı ikna edici ve metodolojik açıdan sağlamdır. Sağlam bir öncülden başlıyorlar: Bulut benimsemenin ve kripto para birimi yaygınlaşmasının kesişimi, kötüye kullanım için doğal bir hedeftir. Temel bir mercek olarak pDNS kullanmak akıllıcadır—bu, müdahaleci uç nokta izleme ihtiyacını aşan pasif, küresel bir gerçeklik kaynağıdır. Basit ilişkilendirme sayımından ağır kuyruklu dağılımları tanımlamaya ilerleyiş, analizin sadece ölçümü aştığı noktadır. Barabási-Albert tercihli bağlanma modelini devreye sokarak, "ne"den "neden"e geçiyor ve bulut madenciliği ağının rastgele olmadığını, öngörülebilir, kendi kendini güçlendiren büyüme kalıplarını izlediğini savunuyorlar. Bu, sosyal ağların veya World Wide Web'in kendisinin nasıl evrildiğine benzer. VirusTotal üzerinden nicelleştirilen güvenlik riskine yapılan son sıçrama, soyut ağ modelini somut, harekete geçirilebilir tehdit istihbaratına bağlamaktadır.
Strengths & Flaws
Güçlü Yönler: Makalenin temel güçlü yönü, veri odaklı, ampirik yaklaşımıdır. Spekülasyondan kaçınır, her iddiayı gözlemlenen pDNS verilerine dayandırır. Yerleşik ağ bilimi ilkelerinin (ölçeksiz ağlar) kullanımı önemli teorik ağırlık katar. Odak noktası Metaverse para birimleri öngörülüdür ve araştırmanın yalnızca Bitcoin madenciliği gibi tarihsel tehditleri değil, aynı zamanda düşmanca yeniliğin en ileri noktasını takip ettiğini gösterir.
Kritik Kusurlar: Ancak, analizin dikkate değer kör noktaları bulunmaktadır. İlk olarak, doğası gereği retrospektifpDNS saldırıların nerede olduğunu gösterir olduğunu, nerede olduklarını değil olduğunu or will be. Sophisticated actors using fast-flux DNS or direct IP connections can evade this. Second, the Nedensellik iddiası zayıftırpDNS'deki bir ilişki, bulut örneğinin kullanıldığını kanıtlamaz için kullanıldı madencilik; bu, bir havuzla iletişim kuran meşru bir hizmet veya bir madencilik betiği içeren güvenliği ihlal edilmiş bir web sitesi olabilir. Makale, Zhu ve arkadaşlarının CycleGAN'ı gibi çalışmalarda kullanılan tekniklerden yararlanabilir—meşru ve kötü amaçlı ilişki kalıplarını daha iyi ayırt etmek için çekişmeli doğrulama kullanmak. Son olarak, ekonomik itici güç yeterince araştırılmamıştır. Bulut örneği maliyetini kripto para getirisiyle karşılaştıran basit bir model, saldırganın Yatırım Getirisi'ni (ROI) güçlü bir şekilde açıklayacak ve hangi bulut bölgelerinin veya örnek türlerinin bir sonraki hedef olacağını tahmin edecektir.
Uygulanabilir İçgörüler
CSP Güvenlik Ekipleri İçin: Uygulayın grafik tabanlı anomali tespiti kendi dahili DNS günlüklerinizde. Örnekleri, bilinen madencilik havuzu alan adlarına hızlı ve sıralı çözümlemeler gösteren - otomatik dağıtım araçlarının bir işareti olan - kiracıları işaretleyin. En ucuz bilgi işlem kapasitesine sahip bölgelerdeki (AWS spot örnekleri gibi) kaynakların araştırılmasına öncelik verin.
Tehdit İstihbaratı Firmaları İçin: Bunu bulut atıf katmanını kripto para madenciliği besleme akışlarınıza entegre edin. Sadece kötü amaçlı bir alan adını raporlamayın; bunun belirli bir Bulut Hizmet Sağlayıcısı'nın IP bloğunda barındırıldığını bildirin. Bu, doğrudan sağlayıcı kanalları aracılığıyla daha hassas ve daha hızlı kaldırmaları mümkün kılar.
For Regulators & Policymakers: Mandate şeffaflık raporlamasıFATF'nin VASP'ler için Seyahat Kuralı'nda oluşturulan emsal izlenerek, madenciliğe işaret eden hesaplama kaynağı tüketim modellerine ilişkin toplu ve anonimleştirilmiş metrikleri raporlaması için büyük CSP'lerin gerekli kılınması düşünülebilir. Bu, kullanıcı gizliliğini ihlal etmeden soruna makro düzeyde bir bakış açısı sağlar.
Sonuç olarak, Adeniran ve Mohaisen gizli bir savaş alanının kritik bir haritasını sunmuştur. Bulut artık sadece bir hizmet değil; kripto savaşlarında stratejik bir kaynaktır. Bir sonraki araştırma aşaması, haritalamadan tahmin ve önlemeye geçmeli, bulutun güçlü yönlerini sahiplerine karşı kullanmakta olan rakiplerin önünde kalmak için gerçek zamanlı akış analitiği ve ekonomik modellemeden yararlanmalıdır.