Under the Dark: A Systematical Study of Stealthy Mining Pools (Ab)use in the Wild

Under the Dark: A Systematical Study of Stealthy Mining Pools (Ab)use in the Wild
CCS 2023

笔记

本文对隐形矿池及其在加密货币挖矿生态系统中的滥用进行了系统研究。作者强调了加密货币挖矿的能源密集型性质以及某些地区的采矿禁令，导致矿池成为采矿活动的中心枢纽。他们还讨论了通过加密劫持恶意软件使用隐蔽矿池来逃避检测技术。该研究的主要发现包括发现 59 个国家/地区的 7,629 个隐形矿池、分析其内部机制、隐形矿池与恶意软件之间的相关性，以及评估恶意加密挖矿活动的利润收益。作者提出了一种隐身矿池的发现方法，揭示了它们的独特特征，并评估了用于逃避挖矿检测的技巧。该研究为加密货币生态系统中隐形矿池的普遍性和影响提供了宝贵的见解。

大意：

• 加密货币挖矿是能源密集型的，在某些地区被禁止，导致矿池的出现。
• 隐蔽矿池被加密劫持恶意软件用来逃避检测。
• 该研究在 59 个国家/地区发现了 7,629 个隐形矿池。
• 隐蔽矿池精心设计其域语义、协议支持和寿命，以提供地下、用户友好且强大的挖矿服务。
• 隐蔽矿池与恶意软件之间存在很强的相关性。
• 用于逃避挖矿检测的技巧包括迁移域名解析方法、利用僵尸网络和启用 TLS 加密。
• 通过隐蔽池进行的恶意加密挖矿活动有可能每年为犯罪分子赚取超过 100 万美元，平均投资回报率为 2,750%。

后续的研究方向

1. 隐身矿池对网络性能的影响分析：调查隐身矿池对网络性能的潜在影响，如带宽消耗、时延等。这种分析可以帮助网络管理员和ISP了解这些池的影响，并制定策略来减轻其影响。

2. 隐身矿池检测防范技术：开发先进的防隐检测防范技术，识别和阻断隐身矿池。这可能涉及分析网络流量模式、域语义和协议行为，以识别可疑的挖矿活动并采取适当的措施来缓解它们。

3. 研究隐身矿池的演变和动态：进行纵向研究，了解隐身矿池随时间推移的演变和动态。这可能涉及分析域名、IP 地址和协议行为的变化，以确定这些池操作的趋势和模式。

4. 调查隐蔽矿池与恶意软件之间的关系：探索隐蔽矿池与恶意软件之间的联系，包括僵尸网络利用这些矿池进行加密劫持活动。这项研究可以揭示不同威胁行为者之间的合作，并提供对加密货币挖矿地下经济的见解。

5. 评估对隐性矿池的监管措施的有效性：评估监管措施（例如政府对加密货币挖矿的限制）对隐性矿池运营的影响。这种分析可以帮助政策制定者和执法机构了解现有法规的有效性，并制定打击非法采矿活动的战略。

6. 研究隐身矿池的经济激励和盈利能力：分析隐身矿池与公共矿池相比的经济激励和盈利能力。这项研究可以深入了解这些游泳池运营背后的动机及其长期可持续性。

7. 制定针对隐身矿池检测规避技术的对策：调查隐身矿池用于逃避检测的技术，并制定克服这些规避技术的对策。这可能涉及分析这些池采用的加密方法、混淆技术和其他规避策略。

这些创新方向有助于更好地了解隐蔽矿池，并有助于制定有效的策略来检测、预防和减轻其对网络和用户的影响。

摘要

加密货币挖矿是区块链中的一项关键操作，矿工经常加入挖矿池以增加获得奖励的机会。然而，PoW加密货币挖矿的能源密集性导致其在美国纽约州、中国和印度被禁止。因此，作为采矿活动中心的矿池已成为监管执法的主要目标。此外，加密劫持恶意软件指的是自有的秘密矿池，以逃避检测技术并隐藏利润钱包地址。然而，由于对隐形矿池的协议实现、使用和端口分布缺乏充分的了解，目前还没有进行系统的研究来对其进行分析。

据我们所知，我们首次对隐形矿池进行了大规模纵向测量研究，以填补这一空白。我们报告在59个国家中有7629个秘密矿池。此外，我们还研究了隐形矿池的内部机制。通过检查19601个隐形矿池域和IP，我们的分析表明，隐形矿池精心设计其领域语义、协议支持和使用寿命，以提供地下、用户友好和强大的采矿服务。更糟糕的是，我们发现了秘密矿池和恶意软件之间的强烈相关性，其中23.3%被标记为恶意软件。此外，我们还评估了用于逃避最先进的挖掘检测的技巧，包括迁移域名解析方法、利用僵尸网络和启用TLS加密。最后，我们从内部人士的角度对通过秘密池进行恶意加密挖掘活动的利润收益进行了定性研究。我们的研究结果表明，犯罪分子每年有可能赚取超过100万美元的收入，平均投资回报率为2750%。我们已经向相关ISP通报了未发现的秘密矿池，并收到了他们的确认。

引言

加密货币挖掘（Cryptocurrency mining，简称cryptocuring）是区块链中的一项关键操作，采用工作证明（PoW）作为共识算法。矿工通过解决复杂的基于哈希的谜题参与这一过程，并获得加密货币奖励。为了增加赢得奖励的机会，矿工经常通过将他们的挖矿硬件（CPU、GPU或ASIC）连接到在线挖矿池服务器来加入挖矿池。然而，基于PoW的加密货币挖矿的能源密集性导致其在几个地区和国家被禁止，如美国纽约州[30]、中国[13]和印度[16]。因此，作为采矿活动中心的矿池已成为监管执法的主要目标。

此外，最近，犯罪分子开始滥用受害者的资源，通过渗透受害者主机和部署加密挖矿恶意软件来挖掘加密货币，这被称为加密劫持。根据一份公开报告[34]，加密劫持恶意软件在2022年第三季度飙升了近四倍，被认为是最严重的网络安全威胁之一。为了逃避安全供应商使用的denylists[41]等检测方法，并隐藏利润钱包地址，加密挖矿恶意软件已开始利用自有的秘密挖矿池[25，31]。先前的工作[52]观察到，僵尸网络恶意软件通过地下采矿基础设施而不是公共矿池开采加密货币[21，23，29]。

与公共矿池相比，地下矿池并不是为了提供公共服务。研究隐形矿池具有挑战性，原因有几个。首先，Stratum协议是事实上的挖掘协议，缺乏标准化的实现规范。其次，并非所有基于此类协议的通信都是为了挖掘加密货币；它们也可以用于其他服务，如Electrum比特币钱包[3]。第三，矿池服务没有指定的端口，这使得在事先不知道目标端口的情况下很难进行大规模扫描。因此，对隐形矿池的系统研究尚待进行。

在本文中，我们通过被动分析和主动扫描对隐形矿池的现状进行了大规模纵向测量研究，据我们所知，这是首次对隐形矿库进行研究。为了应对上述挑战，我们首先从文献[2，6，11，32]、学术研究[46，48，53，71]和真实世界的挖掘样本[4，8，9，14，24，37]中收集了三种最流行的挖掘协议实现。然后，我们提出了一种基于网络探测的挖掘服务发现技术和一种识别隐形挖掘服务的语义方法。我们采用两步方法发现了隐形挖掘池：收集候选服务的挖掘端口的初步实验，然后针对整个IPv4地址范围进行主动扫描，以获得全面的结果。最后，我们发现了7629个隐形矿池，分布在59个国家的2113个IP和17488个领域。

此外，我们还研究了隐形矿池的内部机制。通过检查19601个隐形矿池域和IP，我们的分析表明，隐形矿池精心制作他们的领域语义、协议支持和寿命，以提供地下、用户友好和强大的挖掘服务。隐形泳池往往以域名的形式隐藏自己的身份，这使得它们不那么引人注目。为了提供易于使用的挖掘服务，大约10%的隐秘池支持端口上所有三种实现的请求。此外，7.5%的池能够与TLS加密和非TLS加密的挖掘请求交互。此外，隐形矿池的使用寿命往往较短，33%的隐形矿池使用寿命不到一天，以避免引起不必要的对手注意，例如防火墙或防病毒引擎。

在调查与隐秘矿池相关的恶意活动时，我们发现它们与恶意软件有很强的相关性，其中23.3%的IP和3.3%的域被标记为恶意。我们还进行了活动分析，发现了439个不同的活动，其中一些活动被断言为已知加密挖矿僵尸网络的挖矿池，这意味着秘密挖矿池在恶意软件中很流行。我们发现并评估了用于逃避最先进的挖掘检测的技巧，包括迁移域名解析方法、利用僵尸网络和启用TLS加密。我们的研究结果表明，第三个技巧是最有效的逃避技巧；只有9.6%的使用它的隐形矿池被VirusTotal标记。此外，我们进行了一项定性研究，从内部人士的角度评估通过秘密池进行恶意加密挖掘活动的利润收益。我们的研究结果表明，犯罪分子每年有可能赚取超过100万美元的收入，平均投资回报率为2750%。

贡献

我们提出了第一种隐形矿池的发现方法，并对整个IPv4范围进行了大规模纵向测量研究，定位了7629个不同的隐形矿池，涉及2113个IP和17488个域。

我们发现了隐形矿池的独特特征，揭示了隐形矿库精心设计其领域语义、协议支持和使用寿命，以提供地下、用户友好和强大的采矿服务。

我们发现了与恶意软件合作的秘密矿池，分析了它们的活动和生存策略，并从内部人士的角度评估了它们的利润收益。