it-swarm.dev

Rileva Bitcoin Mining

Quindi, io e un amico amministratore di rete abbiamo discusso del mining di bitcoin. Con così tanti software di mining bitcoin portatili, volevamo trovare i diversi modi per rilevarli nella rete.

Come possiamo rilevare se un certo Host esegue un software di mining bitcoin? Tutti i diversi minatori che ho provato sono portatili. Possono essere salvati ed eseguiti indipendentemente dal loro percorso, escludendo il Program Files, bin cartella.

Altre idee su come rileviamo il mining di bitcoin?

21
Metahuman

Puoi cercare modelli di traffico e simili, ma c'è un significativo crossover tra la folla che estrae bitcoin, la folla che sa come funziona Tor e la folla che fa di tutto per proteggere la loro privacy. Ciò significa che il rilevamento sulla rete non è poi così affidabile. Il fatto che non utilizzi molta larghezza di banda rende particolarmente difficile.

Quello che probabilmente non possono nascondere è l'utilizzo della CPU e della GPU. Se hai accesso alla macchina tramite SNMP, puoi controllare da remoto gli spike della CPU oppure puoi usare il cmdlet Get-Process PowerShell contro le macchine della tua rete per cercare cose che richiedono tempo di CPU. Per il tempo della GPU; non è probabile che sia in grado di individuare effettivamente l'utilizzo a meno che non sia possibile in qualche modo monitorare l'assorbimento di potenza.

Sfortunatamente, poiché permetti alle persone di installare software che desiderano percorsi arbitrari, non è probabile che tu riesca a trovare un metodo affidabile e ripetibile: le persone che stai cercando potrebbero cambiare minatore, cambiare percorso, ecc. cambia la loro firma.

13
Bob Watson

Ispezione dei pacchetti: getwork è il principale protocollo ufficiale per il mining. Uno potrebbe essere in grado di creare un modello filtro l7 per contrassegnare i pacchetti e rilasciarli. Inoltre non sarei sorpreso se i dispositivi di gestione della larghezza di banda grande come Sandvine siano in grado di rilevare getwork.

Tuttavia, la maggior parte del mining è raggruppata. Sembra che i modi per raggiungere questo obiettivo siano piuttosto diversi. Alcuni pool hanno persino i propri client personalizzati. Probabilmente usano una vasta gamma di protocolli di rete diversi.

Inoltre, il malware di mining potrebbe semplicemente scavalcare SSH, TOR, ecc. Per aggirare questo tipo di strategia.

AV: Nella mia esperienza, i prodotti AV fanno almeno uno sforzo per mantenere le firme per diversi software di mining: esempio

9
Cory J
  1. Cerca connessioni a server bitcoin. Le applicazioni devono telefonare a casa, cercare connessioni ai server e l'IP sorgente ti condurrà al sistema che esegue il software
  2. Metti insieme un elenco di nomi eseguibili dei minatori di bitcoin e scansiona i sistemi per quei nomi.
6
GdD

Bene, c'è un modo semi-ragionevole per il prezzo; aggiungere un metro per ogni cubicolo/presa e vedere chi sta usando troppo e indagare. Potrebbero facilmente sconfiggere qualsiasi strumento statico ma sconfiggere l'indagine manuale sul perché questa macchina stia assorbendo troppa potenza è difficile (se non trovi nulla che continui a cercare ovviamente).

0
Joshua