МЕТОДИ І ЗАСОБИ ВИЯВЛЕННЯ КРИПТОМАЙНЕРІВ В ОС WINDOWS ІНСТРУМЕНТАМИ ТЕХНОЛОГІЇ ETW
15.09.2021 20:42
[1. Information systems and technologies]
Author: Руденко М.В., студентка 2 курсу СО «Магістр», «Прикладна фізика та наноматеріали», Донецький національний університет ім. Василя Стуса, м. Вінниця
Майнерами називаються програми, які експлуатують ресурси обчислювального пристрою для генерації різних криптовалют. Віруси-криптомайнери проникають на особисті або корпоративні пристрої і непомітно використовують їх обчислювальні потужності, щоб "добувати" цифрову валюту для своїх творців. За принципом роботи криптомайнер нічим не відрізняється від звичайного вірусу. Структурно він складається з двох частин. Перша відповідає за несанкціоноване проникнення на електронний пристрій, друга - за шкідливу складову.
Еvent Tracing for Windows (ETW) - це легка технологія трасування, яка підтримується всіма компонентами Windows. Її застосовують для виявлення проблем з продуктивністю, для відстеження помилок і для логування. Event Tracing for Windows збирає і передає повідомлення від системних компонентів Windows і сторонніх додатків.
Було обрано три індикатори зараження:
- Використання ресурсів центрального процесора. Середня частка використання ЦП криптомайнерами становила понад 70%.
- Обсяг використовуваної оперативної пам’яті. Криптомайнери в процесі своєї роботи практично не споживають оперативну пам’ять.
- Середнє квадратичне відхилення частки використання центрального процесора. Для криптомайнерів це значення не перевищує 3, а для легітимних ресурсоємних додатків більше 7.
На підставі отриманих даних, був визначений алгоритм виявлення зараження криптомайнерами, основою якого є концепція дерева прийняття рішень.
Даний алгоритм виявляє програми, які є здобувачами криптографічної валюти. Алгоритм здатний виявляти як засоби видобутку криптографічної валюти, реалізовані у вигляді виконуваного файлу ОС Windows, так і у вигляді виконуваного сценарію інтернет оглядача.
Умовні позначення:
C – частка використання ЦП, %;
M – обсяг використовуваної ОП, Мб;
D – середнє квадратичне відхилення частки використання ЦП;
S – коефіцієнт повторюваності.
В результаті роботи вдалось знайти признаки, за якими можна виявити робочі програмні засоби добутку криптографічної валюти з низькою ймовірністю хибного виявлення.
Література:
1. Habr [Електронний ресурс] // Event Tracing for Windows на стороне зла/ Tri-Edge// 31.07.2018 – Режим доступу до статті: https://cutt.ly/6W03ToQ
2. Medium [Електронний ресурс] // Tampering with Windows Event Tracing: Background, Offense, and Defense/ Palantir// 24.12.2018 – Режим доступу до статті: https://cutt.ly/CW03YZe
3. Simba [Електронний ресурс] // How to Log to Event Trace for Windows (ETW) – Режим доступу до статті: https://cutt.ly/sW03I0I
________________
Науковий керівник: Загоруйко Л.В., к.т.н., доцент кафедри інформаційних технологій, Донецький національний університет ім. Василя Стуса, м. Вінниця