2.1 被动DNS (pDNS) 分析
核心方法涉及分析 被动域名系统(pDNS)追踪记录pDNS数据提供了DNS查询与解析的历史记录,使研究人员能够追踪域名与IP地址随时间的映射关系,并识别不同实体之间的关联(例如,矿池域名与云服务提供商IP地址段)。
1. 引言
加密货币作为区块链技术的首要应用,经历了指数级增长并获得了主流采用。该生态系统的一个基本组成部分是 mining pool矿池——矿工集合体,通过整合计算资源来提高获取区块奖励的概率,随后按比例分配奖励。尽管加密货币带来诸多益处,但其匿名性和去中心化特性也为恶意活动提供了便利,例如勒索软件支付和隐蔽的命令与控制(C2)操作。本文研究了加密货币矿池与公共云基础设施之间的关键交汇点,旨在分析其关联、评估安全风险并建模其底层动态。
核心假设是,攻击者越来越多地利用公共云资源进行加密货币挖矿,这归因于其可扩展性、灵活性以及潜在的滥用可能性(例如,通过被入侵的实例)。这种转变代表了现代计算趋势与攻击者动机的融合,即从可追踪的私有服务器转向短暂、基于云的攻击前沿。
2. Methodology & Data Collection
本研究采用一种基于网络情报数据的被动式观察方法。
2.2 数据来源与处理
数据汇总自大规模被动DNS数据集。通过公开列表和区块链情报源识别出矿池域名。随后,将这些域名解析出的IP地址映射至其对应的自治系统编号(ASN)及组织所有者,以识别云服务提供商(CSP)。安全信誉数据则交叉引用自 VirusTotal 以评估恶意关联。
3. Key Findings & Statistical Analysis
涉及的云服务提供商
24
发现与矿池关联的唯一云服务提供商。
主要提供商的份额
~48%
与亚马逊(AWS)和谷歌云相关的关联。
恶意端点(前两大云服务提供商)
30-35%
相关终端在VirusTotal上被标记为恶意。
3.1 云服务提供商与矿池的关联
分析显示 24家不同的公有云提供商 通过DNS解析路径与加密货币矿池存在可观测的关联。市场高度集中,其中 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 占所有已观测关联的近一半(48%)。这表明,矿工及潜在恶意行为者偏爱大型、成熟的云服务提供商,这很可能是因为其庞大的全球基础设施、高可靠性,以及易于混入合法流量之中。
3.2 分布与优先连接
云服务提供商的存在及其与矿池连接(关联)数量的分布均呈现出 重尾分布,这是无标度网络的典型特征。该模式表明其内在遵循一种 优先连接模型:知名矿池更可能与大型云服务提供商建立新的关联,反之亦然,从而形成一种“富者愈富”的动态。这反映了从社交媒体到引文网络等其他技术网络中观察到的增长模式。
3.3 安全风险评估
A significant security finding is the high rate of malicious association. Among the endpoints (IPs/domains) associated with the top two cloud providers (AWS & GCP), 30-35%的检测结果呈阳性 根据VirusTotal扫描,与恶意活动相关联。这一高比例凸显出,云端挖矿并非纯粹的合法商业活动,而是与加密货币劫持、资源入侵及其他形式的网络犯罪紧密交织。该论文还指出,挖矿活动正转向 Metaverse-related currencies,表明对抗性激励正在演变。
4. Technical Framework & Mathematical Modeling
观察到的偏好依附现象可以通过数学模型进行描述。设 $G(t)$ 为时间 $t$ 的网络图,其中节点代表云服务提供商和矿池,边代表观测到的关联。新连接与节点 $i$ 相连的概率 $\Pi(k_i)$ 与其当前度 $k_i$ 成正比:
$$
此外,云提供商 $c$ 的安全风险 $R_c$ 可概念化为其关联数量 $V_c$ 以及这些关联的恶意比例 $M_c$ 的函数:
$$
5. Experimental Results & Charts
图表 1: 云服务提供商关联份额。 饼图或条形图将在分析中占据视觉主导地位,显示AWS和GCP合计占有约48%的协会份额,随后是其他供应商(Microsoft Azure、Alibaba Cloud、DigitalOcean等)构成的长尾,占据剩余的52%。
图表2:度分布双对数坐标图。 一个关键的实验结果就是节点度分布的双对数坐标图。该图表将显示一条具有负斜率的直线,证实了幂律、重尾分布 $P(k) \sim k^{-\gamma}$。此图是择优连接机制在起作用的直接证据。
图表3:各顶级供应商的恶意端点比例。 分组柱状图对比了AWS和GCP,显示约有35%的AWS关联终端和30%的GCP关联终端被标记为恶意,这为安全风险提供了可量化的衡量标准。
6. 分析框架:案例研究
案例:追踪一起疑似加密货币劫持操作
步骤一 - 初始样本识别: 从一个已知的恶意挖矿程序二进制文件或威胁情报源中的域名开始(例如:`malicious-miner-pool[.]xyz`)。
步骤 2 - pDNS 扩展: 查询过去6个月内与种子域名相关的所有IP地址(`A`记录)的pDNS数据。
步骤 3 - 云归属判定: 对每个已解析的IP,执行WHOIS查询和ASN映射。筛选出属于主要云服务提供商(例如AWS `us-east-1`)的IP地址段。
步骤4 - 图构建: 将数据建模为一个二分图:一组节点是矿池域名,另一组是云服务提供商的IP地址块。如果某个域名解析到特定地址块中的一个IP,则两者之间存在一条边。
Step 5 - Anomaly Detection & Risk Scoring:
- 流量激增: 检测特定CSP IP段是否突然解析数百个新的、临时性的矿工域名——这是大规模自动化部署的迹象。
- 恶意关联: 通过VirusTotal API对所有发现的域名进行交叉比对。计算风险评分:$\text{评分} = \frac{\text{恶意域名数量}}{\text{域名总数}} \times \log(\text{独立IP总数})$。
- 时序分析: 观察在收到关停通知后,挖矿活动是否从一个云服务提供商迁移至另一个,以评估攻击者的抗打击能力。
结果: 该框架不仅能识别单个恶意实例,还能识别云基础设施中的滥用模式,从而能够向云服务提供商的安全团队就特定的高风险IP地址块发出针对性警报。
7. Future Applications & Research Directions
面向云服务提供商的主动威胁狩猎: 云服务提供商可将类似的被动DNS分析集成到其内部安全运营中心(SOC)中,以主动识别并暂停用于非法挖矿的资源,从而减少滥用行为,并为合法客户节约基础设施。
2. 区块链分析集成: 未来工作应将链上交易数据与云端外的IP情报相融合。通过将挖矿奖励地址与云端托管的矿池端点相关联,研究人员可以追踪加密货币劫持收益的资金流向,这是一种类似于Chainalysis和Elliptic所使用的技术。
3. AI驱动的行为检测: 机器学习模型可以在云实例的网络和资源消耗模式(CPU/GPU负载、与已知矿池的网络流量)上进行训练,以实时检测挖矿恶意软件,其原理类似于端点检测与响应(EDR)工具,但作用于虚拟机监控程序层面。
4. Policy & Regulatory Implications: 本研究揭示了一个数据缺口。正如金融行动特别工作组(FATF)框架所建议的,监管机构可考虑要求云服务提供商(CSP)报告加密货币挖矿流量的汇总指标,类似于金融交易报告,以提高生态系统透明度并打击非法融资。
5. 下一代资产研究: 如前所述,当前正出现向元宇宙货币的转变。未来的研究必须将分析范围扩展至隐私币(如门罗币、Zcash)的矿池,以及与虚拟世界和去中心化物理基础设施网络(DePIN)相关的新型工作量证明(Proof-of-Work)资产。
8. References
- Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
- Barabási, A. L., & Albert, R. (1999). Emergence of scaling in random networks. 科学, 286(5439), 509-512.
- Möser, M., et al. (2018). An Empirical Analysis of Traceability in the Monero Blockchain. Proceedings on Privacy Enhancing Technologies.
- Vasek, M., & Moore, T. (2015). There's no free lunch, even using Bitcoin: Tracking the popularity and profits of virtual currency scams. In 金融密码学与数据安全.
- Financial Action Task Force (FATF). (2021). 针对虚拟资产及虚拟资产服务提供商基于风险方法的最新指引。
- 朱俊彦等。(2017)。《使用循环一致对抗网络的无配对图像到图像翻译》。 《IEEE国际计算机视觉会议(ICCV)论文集》。(CycleGAN作为领域间映射的方法类比参考)。
- 云安全联盟 (CSA). (2022). 云计算主要威胁:恶劣的11项.
- VirusTotal. (n.d.). Google's VirusTotal API Documentation. 检索自 https://developers.virustotal.com/
核心洞察
本文不仅关乎云上加密货币挖矿;它更是一份尖锐的揭露,展示了现代计算架构——集中式、可扩展、按需供给——如何被挪用以驱动去中心化、资源密集型的区块链经济,且常怀恶意。近半数被观测到的活动流经AWS和谷歌云,这一发现是迄今为止最确凿的证据,表明在对抗性环境中,“云中立”只是一个神话。主要云服务提供商在不知不觉中,却不成比例地成为了合法与非法挖矿活动的共同基石。这造成了巨大的不对称:防御者必须保护一个广阔、共享的攻击面,而攻击者则享受着临时云资源的敏捷性与匿名性。
逻辑流程
作者的逻辑严谨且方法可靠。他们从一个坚实的前提出发:云计算的普及与加密货币的激增自然成为滥用的目标。将pDNS作为基础观察视角十分巧妙——它是一种被动的、全球性的真相来源,绕过了对侵入式终端监控的需求。从简单的关联计数到识别重尾分布,是分析超越单纯测量的关键一步。通过引入Barabási-Albert偏好依附模型,他们从“是什么”推进到“为什么”,论证了云挖矿网络并非随机形成,而是遵循可预测的、自我强化的增长模式。这类似于社交网络或万维网本身的演化方式。最后通过VirusTotal量化安全风险的飞跃,将抽象的网络模型与具体的、可操作的威胁情报联系了起来。
Strengths & Flaws
优势: 该论文的主要优势在于其 data-driven, empirical approach它避免了猜测,将每一个论断都建立在观察到的pDNS数据之上。运用成熟的网络科学原理(无标度网络)增添了重要的理论分量。其关注点在于 Metaverse currencies 具有前瞻性,表明该研究正在追踪对抗性创新的前沿,而不仅仅是比特币挖矿这类历史威胁。
严重缺陷: 然而,该分析存在明显的盲点。首先,它是 本质上是回顾性的pDNS显示攻击发生的位置 曾经是,而非它们 现在的位置 或 将是. 使用fast-flux DNS或直接IP连接的复杂攻击者可以规避此检测。其次, 因果关系主张薄弱. pDNS中的关联性并不能证明云实例曾被 用于 挖矿;这可能是一个与矿池通信的良性服务,也可能是一个被植入了挖矿脚本的受感染网站。本文可以借鉴Zhu等人CycleGAN等工作中使用的技术——采用对抗性验证来更好地区分合法与恶意的关联模式。最后, 经济驱动因素探讨不足一个比较云实例成本与加密货币收益的简单模型,将能有力地解释攻击者的投资回报率,并预测接下来哪些云区域或实例类型会成为攻击目标。
可操作的见解
对于云服务提供商安全团队:实施 基于图(graph)的异常检测 在您自己的内部DNS日志上。标记那些实例显示出对一系列已知矿池域(mining pool domains)进行快速、顺序解析的租户——这是自动化部署工具的典型特征。优先调查计算资源最便宜地区(如AWS spot instances)中的资源。
对于威胁情报公司:将此 云归属层 整合到您的加密货币劫持情报源中。不要仅仅报告一个恶意域名;要报告其托管在特定云服务提供商的IP地址段上,从而通过直接提供商渠道实现更精准、更快速的关停。
For Regulators & Policymakers: Mandate 透明度报告遵循金融行动特别工作组(FATF)为虚拟资产服务提供商(VASP)制定的旅行规则先例,考虑要求大型云服务提供商(CSP)汇总报告匿名的、能指示挖矿活动的计算资源消耗模式指标。这能在不侵犯用户隐私的前提下,从宏观层面呈现问题全貌。
总之,Adeniran和Mohaisen描绘了一幅关键且隐秘的战场地图。云不再仅仅是一种公用设施;它已成为加密战争中的战略资源。下一阶段的研究必须从测绘转向预测和先发制人,利用实时流式分析和经济建模,以领先于那些已经在利用云的优势来对抗其所有者的对手。