測量與分析公有雲中的加密貨幣挖礦活動

1. 緒論

加密貨幣作為區塊鏈技術的首要應用，已見證了指數級增長與主流採用。此生態系統的一個基本組成部分是礦池——礦工們匯集運算資源以提高獲得區塊獎勵機率的集合體，獎勵隨後按比例分配。雖然加密貨幣帶來諸多好處，但其匿名與去中心化的特性也助長了惡意活動，例如勒索軟體支付與隱蔽的命令與控制 (C2) 操作。本文探討加密貨幣礦池與公有雲基礎設施之間的關鍵交集，旨在描繪其關聯性、衡量安全暴露程度，並對其底層動態進行建模。

核心假設是：由於其可擴展性、靈活性及潛在的濫用可能性（例如透過遭入侵的執行個體），攻擊者越來越多地利用公有雲資源進行加密貨幣挖礦。這種轉變代表了現代運算趨勢與攻擊者誘因的匯合，從可追蹤的私有伺服器轉向短暫、基於雲端的攻擊前線。

2. 研究方法與資料收集

本研究採用基於網路情報資料的被動式觀察方法。

3. 主要發現與統計分析

4. 技術框架與數學建模

觀察到的偏好依附現象可以用數學模型來描述。令 $G(t)$ 為時間 $t$ 時的網路圖，其中節點代表雲端供應商和礦池，邊代表觀察到的關聯。新連線連接到節點 $i$ 的機率 $\Pi(k_i)$ 與其當前度數 $k_i$ 成正比：

$$ \Pi(k_i) = \frac{k_i}{\sum_j k_j} $$ 這個 Barabási–Albert 模型原理解釋了重尾度分佈 $P(k) \sim k^{-\gamma}$ 的出現，其中 $P(k)$ 是節點具有度數 $k$ 的機率，而 $\gamma$ 是一個常數，通常介於 2 到 3 之間。本研究的實證資料符合此模型，證實了網路的無尺度特性。

此外，雲端供應商 $c$ 的安全風險 $R_c$ 可以概念化為其關聯量 $V_c$ 與這些關聯的惡意比例 $M_c$ 的函數：

$$ R_c = f(V_c, M_c) \approx \alpha \cdot \log(V_c) \cdot M_c^{\beta} $$ 其中 $\alpha$ 和 $\beta$ 是權衡規模與惡意密度對整體風險暴露貢獻的參數。

5. 實驗結果與圖表

圖表 1：雲端供應商關聯佔比。 圓餅圖或長條圖將在視覺上主導分析，顯示 AWS 和 GCP 合計持有約 48% 的關聯佔比，其餘 52% 則由一長串其他供應商（Microsoft Azure、Alibaba Cloud、DigitalOcean 等）組成。

圖表 2：度分佈對數-對數圖。 一個關鍵的實驗結果是節點度分佈的對數-對數圖。該圖將顯示一條具有負斜率的直線，證實了冪律、重尾分佈 $P(k) \sim k^{-\gamma}$。此圖直接證明了偏好依附機制正在發揮作用。

圖表 3：各頂尖供應商的惡意端點比例。 一個分組長條圖比較 AWS 和 GCP，顯示約有 35% 與 AWS 相關的端點及 30% 與 GCP 相關的端點被標記為惡意，提供了安全風險的可量化衡量。

6. 分析框架：個案研究

個案：追蹤疑似加密劫持行動

步驟 1 - 種子識別： 從已知的惡意挖礦程式二進位檔或威脅情報來源（例如 `malicious-miner-pool[.]xyz`）提供的網域開始。

步驟 2 - pDNS 擴展： 查詢 pDNS 資料，取得過去 6 個月內與種子網域相關的所有 IP 位址（`A` 記錄）。

步驟 3 - 雲端歸因： 針對每個解析出的 IP，執行 WHOIS 查詢和 ASN 映射。篩選出屬於主要 CSP 的 IP 範圍（例如 AWS `us-east-1`）。

步驟 4 - 圖形建構： 將資料建模為二分圖：一組節點是礦池網域，另一組是 CSP IP 區塊。如果一個網域解析到該區塊中的一個 IP，則存在一條邊。

步驟 5 - 異常偵測與風險評分：

• 流量激增： 偵測特定 CSP IP 區塊是否突然解析出數百個新的、短暫的礦工網域——這是大規模自動化部署的跡象。
• 惡意關聯性： 將所有發現的網域與 VirusTotal API 交叉參照。計算風險分數：$\text{分數} = \frac{\text{惡意網域數量}}{\text{總網域數量}} \times \log(\text{獨立 IP 總數})$。
• 時間序列分析： 觀察挖礦活動是否在收到下架通知後從一個 CSP 遷移到另一個 CSP，這表明攻擊者的韌性。

成果： 此框架不僅能識別個別的惡意執行個體，還能識別跨雲端基礎設施的濫用模式，從而能夠向 CSP 的安全團隊發出針對特定高風險 IP 區塊的警報。

7. 未來應用與研究方向

1. 為 CSP 進行主動式威脅獵捕： 雲端供應商可以將類似的 pDNS 分析整合到其內部安全營運中心 (SOC) 中，主動識別並暫停用於非法挖礦的資源，從而減少濫用並為合法客戶保留基礎設施。

2. 區塊鏈分析整合： 未來的工作應將鏈上交易資料與雲外 IP 情報融合。透過將挖礦獎勵地址與雲端託管的礦池端點相關聯，研究人員可以追蹤加密劫持收益的資金流動，這是一種類似於 Chainalysis 和 Elliptic 所使用的技術。

3. AI 驅動的行為偵測： 可以針對雲端執行個體的網路與資源消耗模式（CPU/GPU 負載、通往已知礦池的網路流量）訓練機器學習模型，以即時偵測挖礦惡意軟體，類似於端點偵測與回應 (EDR) 工具的運作方式，但作用於虛擬機器監視器層級。

4. 政策與監管影響： 這項研究凸顯了資料缺口。監管機構可以考慮要求 CSP 報告加密貨幣挖礦流量的彙總指標，類似於金融交易報告，以提高生態系統透明度並打擊非法金融活動，正如金融行動特別工作組 (FATF) 框架中所建議的。

5. 下一代資產研究： 如前所述，正發生向元宇宙貨幣的轉變。未來的研究必須將分析擴展到隱私幣（例如 Monero、Zcash）以及與虛擬世界和去中心化實體基礎設施網路 (DePIN) 相關的新工作量證明資產的礦池。

8. 參考文獻

1. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
2. Barabási, A. L., & Albert, R. (1999). Emergence of scaling in random networks. Science, 286(5439), 509-512.
3. Möser, M., et al. (2018). An Empirical Analysis of Traceability in the Monero Blockchain. Proceedings on Privacy Enhancing Technologies.
4. Vasek, M., & Moore, T. (2015). There's no free lunch, even using Bitcoin: Tracking the popularity and profits of virtual currency scams. In Financial Cryptography and Data Security.
5. Financial Action Task Force (FATF). (2021). Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers.
6. Zhu, J. Y., et al. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. Proceedings of the IEEE International Conference on Computer Vision (ICCV). (用於領域間映射方法類比的 CycleGAN 參考文獻)。
7. Cloud Security Alliance (CSA). (2022). Top Threats to Cloud Computing: The Egregious 11.
8. VirusTotal. (n.d.). Google's VirusTotal API Documentation. Retrieved from https://developers.virustotal.com/

9. 原創分析與專家評論