МЕТОДИ І ЗАСОБИ ВИЯВЛЕННЯ КРИПТОМАЙНЕРІВ В ОС WINDOWS ІНСТРУМЕНТАМИ ТЕХНОЛОГІЇ ETW - Scientific conference

Congratulation from Internet Conference!

Hello

Рік заснування видання - 2011

МЕТОДИ І ЗАСОБИ ВИЯВЛЕННЯ КРИПТОМАЙНЕРІВ В ОС WINDOWS ІНСТРУМЕНТАМИ ТЕХНОЛОГІЇ ETW

15.09.2021 20:42

[1. Information systems and technologies]

Author: Руденко М.В., студентка 2 курсу СО «Магістр», «Прикладна фізика та наноматеріали», Донецький національний університет ім. Василя Стуса, м. Вінниця


Майнерами називаються програми, які експлуатують ресурси обчислювального пристрою для генерації різних криптовалют. Віруси-криптомайнери проникають на особисті або корпоративні пристрої і непомітно використовують їх обчислювальні потужності, щоб "добувати" цифрову валюту для своїх творців. За принципом роботи криптомайнер нічим не відрізняється від звичайного вірусу. Структурно він складається з двох частин. Перша відповідає за несанкціоноване проникнення на електронний пристрій, друга - за шкідливу складову.

Еvent Tracing for Windows (ETW) - це легка технологія трасування, яка підтримується всіма компонентами Windows. Її застосовують для виявлення проблем з продуктивністю, для відстеження помилок і для логування. Event Tracing for Windows збирає і передає повідомлення від системних компонентів Windows і сторонніх додатків. 

Було обрано три індикатори зараження:

- Використання ресурсів центрального процесора. Середня частка використання ЦП криптомайнерами становила понад 70%.

- Обсяг використовуваної оперативної пам’яті. Криптомайнери в процесі своєї роботи практично не споживають оперативну пам’ять.

- Середнє квадратичне відхилення частки використання центрального процесора. Для криптомайнерів це значення не перевищує 3, а для легітимних ресурсоємних додатків більше 7.

На підставі отриманих даних, був визначений алгоритм виявлення зараження криптомайнерами, основою якого є концепція дерева прийняття рішень.

Даний алгоритм виявляє програми, які є здобувачами криптографічної валюти. Алгоритм здатний виявляти як засоби видобутку криптографічної валюти, реалізовані у вигляді виконуваного файлу ОС Windows, так і у вигляді виконуваного сценарію інтернет оглядача.




Умовні позначення:

C – частка використання ЦП, %; 

M – обсяг використовуваної ОП, Мб;

D – середнє квадратичне відхилення частки використання ЦП;

S – коефіцієнт повторюваності.

В результаті роботи вдалось знайти признаки, за якими можна виявити робочі програмні засоби добутку криптографічної валюти з низькою ймовірністю хибного виявлення.

Література:

1. Habr [Електронний ресурс] // Event Tracing for Windows на стороне зла/ Tri-Edge// 31.07.2018 – Режим доступу до статті: https://cutt.ly/6W03ToQ

2. Medium [Електронний ресурс] // Tampering with Windows Event Tracing: Background, Offense, and Defense/ Palantir// 24.12.2018 – Режим доступу до статті: https://cutt.ly/CW03YZe

3. Simba [Електронний ресурс] // How to Log to Event Trace for Windows (ETW) – Режим доступу до статті: https://cutt.ly/sW03I0I 


________________

Науковий керівник: Загоруйко Л.В., к.т.н., доцент кафедри інформаційних технологій, Донецький національний університет ім. Василя Стуса, м. Вінниця




Creative Commons Attribution Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
допомога Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Сonferences

Conference 2024

Conference 2023

Conference 2022

Conference 2021



Міжнародна інтернет-конференція з економіки, інформаційних систем і технологій, психології та педагогіки

Наукова спільнота - інтернет конференції

:: LEX-LINE :: Юридична лінія

Інформаційне суспільство: технологічні, економічні та технічні аспекти становлення