クリプトマイナーに関する分析：マイニングボットネットのシャットダウン

悪性のあるクリプトマイナー動作が検知された場合、現在、そのシャットダウンを試みるには次の2つの方法があります。 

1. プールサービスに攻撃者アカウントを禁止するようリクエストする方法

2. 攻撃者のインフラ内の他のサービスを停止して、キャンペーンの妨害を試みる方法

これらのオプションの問題は、サードパーティに依存しているために、非常に複雑で時間がかかることです。

私たちは、よりよい方法を発見したのです。 

マイニングトポロジーとプールポリシーを活用して2つの手法を開発しました。これにより、クリプトマイナーボットネットの効果を、完全にシャットダウンするまで削減できるため、攻撃者はインフラに根本的な変更を加えたり、キャンペーン全体を放棄したりせざるを得なくなります。

どちらの手法も、いわばマイニング活動のアカウントに関連するプロキシやウォレットなどの重要なコンポーネントを禁止できる方法であり、stratum通信の利用に基づいています。

図2：ラボ環境での「不正なシェア」手法の適用

プールを介したクリプトマイニングは、シェアと呼ばれる有効なハッシュ計算結果の送信に基づいて行われます。収益を生み出すには、クリプトマイナーはマイニングプールにシェアを送信する必要があります。マイニングプールは、シェアを受信すると、ハッシュ結果とその難易度を検証します。

シェアの検証は、プールサーバーが処理する必要がある最も重いタスクの1つで、無効なシェアの場合には特に重くなります。人生における色々なことと同様に、ミスは起こり得ます。たとえば、ハードウェアの不具合により、間違ったシェアがプールに送信される可能性があります。

無効なシェアを処理すると大量のリソースが消費されるため、無効なシェアの大量送信による負荷でプール自体が破綻するのを防がなければなりません。そのため、送信されたシェアがサーバーの検証に合格しない場合、ほとんどのプールでは、通常は一時的な禁止という形で、マイナーに対するペナルティを適用します。

このインタラクションは、悪性のマイニング動作のシャットダウンを試みる際に、非常に興味深いものだと言えます。バックエンドノードやプールに攻撃者マイナー（すなわち被害者）を禁止させることができれば、クリプトマイナーのリソース悪用を停止し、実質的に被害者を解放することができます。

次のセクションでは、先に検討した2つのマイニングキャンペーンを対象に、この概念を説明します。各キャンペーンは、マイニングプロキシとパブリックプールへの直接接続という異なるマイニングトポロジーを代表しています。

悪意のあるクリプトマイナーが最も一般的に使用するマイニングトポロジーの1つが、マイニングプロキシです（図3）。この構成では、攻撃者のバックエンドとウォレットの両方のアドレスを隠蔽することでプライバシーが強化されるため、IDが保護され、ネットワーク内のトレーサビリティが減少します。

マイニングプロキシは、マイナーが接続するターゲットプールを「隠す」ため、ネットワーク検知に固有の課題をもたらします。これは通常、ネットワーク検査で検知できます。ウォレットアドレスも隠すことで、マイナーの検知可能なフットプリントがさらに制限されます。しかしながら、マイニングプロキシがクリプトマイナーの弱点となりうることがわかりました。

プロキシを使用してマイニングを行う場合、すべての被害者が1台のサーバーに接続されます。つまり、そのプロキシを妨害するとすべてのマイニング動作が停止する可能性があるのです。私たちは、そのような操作を実行できる手法を開発しました。

考え方はシンプルです。悪性のプロキシにマイナーとして接続することで、無効なマイニングジョブ結果（不正なシェア）を送信できるようになります。この不正なシェアは、プロキシの検証をバイパスして、プールに送信されます。不正なシェアを連続して送信すると、最終的にプロキシが禁止され、クリプトマイニングボットネット全体のマイニング動作が実質的に停止します。

クリプトマイナーは、最初にStratumログイン方式を使用してプロキシに接続する必要があります。他の構成が設定されていない場合、マイナーはXMRigプロキシサーバーによってデフォルトでxと識別されます（図4）。

接続が成功した場合は、プロキシ側にリスナーが存在することを意味します。応答を解析することで、実際にマイニングプロキシであることを確認できます。有効な応答はStratumプロトコルに準拠したJSONドキュメントであり、その結果はジョブになります。

完全なマイニングプロセスは（Zero to Moneroで説明されているように）複雑ですが、カスタムシェアの作成は比較的簡単です。プロキシ応答からいくつかの値（ワーカーID、ジョブID、nicehashノンス）を抽出するだけです。これら3つはすべて特定のマイニングジョブを追跡するために必要です。そのため、プロキシが不正なシェアを受け入れるようにするためには、これらのフィールドに正しく入力する必要があります（図5）。

マイナーからシェアを受信すると、プロキシはそのシェアをほぼそのままプールに転送しますが、重要な違いが1つあります。それは、シェアが攻撃者のウォレットアドレスとして送信されることです。そのため、クリプトマイナーのサンプルから、攻撃者のアカウントやプールに関するウォレットなどの情報を知ることはできませんでした。

被害者の1人としてクリプトマイナーボットネットに侵入するのはそれほど難しくありません。通常、特別な承認は必要なく、多くの場合には、マイナーとしてXMRig、マイニングプロキシとしてXMRig-proxyなど標準的なアプリケーションを使用します。

これがXMRogueの開発につながりました。XMRogueはマイナーになりすまして、マイニングプロキシへの接続、不正なシェアの連続した送信、そして最終的にはプールからのマイニングプロキシの禁止を実施できるツールです（図6）。

ジョブリクエストを解析し、プロキシが有効とみなすような「不正な」ジョブ結果を慎重に作成することで、そうした検証を乗り越えて、シェアをプールに転送させることができます。

このプロキシは毎秒300万個のハッシュを生成します。これは、およそ1時間あたり3米ドルあるいは年間で26,000米ドルの収益に相当します。XMRogueでこのプロキシを対象にすることで、これが迅速にプールから禁止され、接続されたすべての被害者のマイニングを停止することができました。プロキシのハッシュレートを検査すると、完全にゼロまで低下していることがわかります（図9）。

XMRogueが攻撃者のキャンペーン全体に与える影響を検討してみると、その収益性が大幅に低下することが分かります。このキャンペーンが最初に記録された際には、年間約50,000米ドルを産み出していました。当社が妨害して不安定な状態になった後は、キャンペーンの年間収益は76% 減少して12,000米ドルになっています。追加のプロキシを対象にしていれば、収益がゼロになっていた可能性もあります。このような影響により、攻撃者はキャンペーンを完全に中止せざるを得なくなったり、監視対象の変更を行う際に特定されるリスクを負ったりする可能性があります。

攻撃者は常にプロキシを使用するとは限りません。多くの場合、被害者は直接プールに接続します。つまり、前述の手法は適用できません。不正なシェアを送信すれば、プールから自分のIPアドレスが禁止されるだけで、マイニング動作に影響を与えることはありません。

上記の手法は、防御側がプールポリシーを利用して、正当なプール操作を中断することなく、悪性のクリプトマイナーキャンペーンを効果的にシャットダウンする方法を示しています。正規のマイナーは、IPやウォレットをローカルで簡単に変更できるため、この種の攻撃から迅速に回復できます。

ボットネット全体を変更する必要があるため、悪性のクリプトマイナーにとって、これは非常に困難なタスクになるでしょう。技術レベルの低いマイナーであれば、この防御によってボットネットが完全に無効になる可能性があります。