本篇文章是NISL 实验室张镇睿同学录用于ACM CCS 2023的论文 Under the Dark: A Systematical Study of Stealthy Mining Pools (Ab)use in the Wild。本篇论文针对危害更为严重的隐匿矿池(Stealthy Mining Pool)进行了深入的分析,发现隐匿矿池被广泛适用于恶意挖矿场景并产生了巨额收益。
全文共3000字,阅读时间约11分钟。
对于采用工作证明(Proof of Work, PoW)作为共识机制的加密货币区块链来说,挖矿(Cryptomining)是挖掘并发现新虚拟货币并进行转账操作的的依赖手段。矿工通过解决基于哈希值的复杂谜题,得到加密货币的奖励。矿池(Mining Pool)是指矿工通过网络共享其计算能力的服务器,并根据矿工为新区块贡献的计算量分配奖励。因此,随着全网算力的增加,为了增加赢得奖励的机会,矿工倾向于加入矿池,共享矿池的挖掘结果。然而,由于挖矿过程大量消耗能源,全世界多个国家大多倾向于禁止挖矿的过程,比如美国纽约州[1],中国[2]与印度[3]。而作为挖矿操作枢纽的矿池也成为了执法者的主要目标。
尽管隐匿矿池已被广泛使用于加密货币挖矿场景,然而目前仍缺少对隐匿矿池的大规模长时间检测的工作,而检测隐匿矿池具有以下几点挑战:
隐匿矿池团伙聚类
通过使用Virustotal[13]等公开威胁情报,论文发现隐匿矿池使用的基础设施中有23.3%的IP地址与3.3%的域名被标记为恶意。论文使用以3个特征将这些IP与域名进行聚类,通过聚类结果发现恶意挖矿团伙:1)使用相同的IP地址;2)使用相同的eTLD+1(effective Top-Level Domain+1)域名;3)共享相同的TLS证书公钥。最终论文聚类出共包括880个IP与4,503个域名的439个不同的挖矿团伙。图表6展示了依据Passive DNS [14]中请求量较多的前10个团伙。
参考文献
原文始发于微信公众号(DataCon大数据安全分析竞赛):论文分享 | Under the Dark: 隐匿矿池滥用分析研究
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论