Wie richte ich Silent Mining unter Windows ein? (Hintergrundaufgaben)

Systemoptimierung für Stealth Mining

1. Stellen Sie die visuellen Effekte über Systemeigenschaften → Erweitert → Leistungseinstellungen auf „Beste Leistung“ ein. Dies reduziert den GUI-Overhead und entlastet CPU-Zyklen.

2. Konfigurieren Sie den virtuellen Speicher manuell auf 16 GB. Navigieren Sie zu Erweitert → Leistung → Virtueller Speicher → Ändern, deaktivieren Sie dann die automatische Verwaltung und legen Sie eine benutzerdefinierte Größe fest.

3. Deaktivieren Sie Windows Update dauerhaft mit dem Gruppenrichtlinien-Editor (gpedit.msc). Gehen Sie zu Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows Update → Automatische Updates konfigurieren → wählen Sie „Deaktiviert“.

4. Stellen Sie den Energieplan auf „Hohe Leistung“ und konfigurieren Sie den Ruhezustand/Ruhezustand auf „Nie“. Zugriff über Systemsteuerung → Hardware und Sound → Energieoptionen.

5. Schalten Sie Windows Defender aus, indem Sie im Gruppenrichtlinien-Editor unter Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Microsoft Defender Antivirus die Option „Windows Defender Antivirus deaktivieren“ aktivieren.

Techniken zur Prozessverschleierung

1. Benennen Sie schädliche Binärdateien um, um Systemprozesse nachzuahmen: svchost.exe, winlogon.exe, spoolsv.exe – alle in nicht standardmäßigen Verzeichnissen wie C:\Windows\daozai oder C:\Windows\dell abgelegt.

2. Verwenden Sie NSSM (Non-Sucking Service Manager), um ausführbare Mining-Dateien als Windows-Dienste zu installieren. Dies stellt die Persistenz über Neustarts hinweg sicher und verbirgt die Prozessherkunft unter legitimen Diensthosts.

3. Starten Sie Mining-Binärdateien über mehrschichtige Batch-Skripte: run.bat löst run64.bat aus, das den Miner mit verschleierten Parametern ausführt, einschließlich Stratum-URLs und Wallet-Adressen.

4. Entfernen Sie Debug-Informationen und betten Sie XOR-codierte Zeichenfolgen in Binärdateien ein, um einer statischen Analyse durch Endpunkterkennungstools zu entgehen.

5. Löschen Sie Ereignisprotokolle nach der Ausführung mithilfe der in Startskripts eingebetteten wevtutil.exe-Befehle, um forensische Spuren des Erstzugriffs zu löschen.

Strategien zur Netzwerkumgehung

1. Leiten Sie ausgehende Verbindungen über Port 5555 oder 3333 – häufig in Verbindung mit Monero- und Cryptonight-Pools – um sich an die alten Mining-Verkehrsmuster anzupassen.

2. IP-Adressen anstelle von Domänennamen fest kodieren, um DNS-Protokollierung zu vermeiden; Lösen Sie Pool-Endpunkte offline auf und betten Sie rohe IPv4-Adressen direkt in Konfigurationsdateien ein.

3. Implementieren Sie TCP-Keep-Alive-Intervalle, die den Standard-HTTP-Timeouts entsprechen, um ein harmloses Hintergrundsynchronisierungsverhalten anstelle aggressiver Abfragen nachzuahmen.

4. Begrenzen Sie die Bandbreitennutzung pro Verbindung auf unter 10 KB/s, um unter den üblichen IDS-Schwellenwertwarnungen für Datenexfiltration oder C2-Aktivität zu bleiben.

5. Verwenden Sie TLS 1.2 mit selbstsignierten Zertifikaten, wenn Sie eine Verbindung zu benutzerdefinierten Proxy-Relays herstellen, die den Datenverkehr an öffentliche Mining-Pools weiterleiten und so das endgültige Ziel vor der Netzwerkprüfung verbergen.

Persistenzmechanismen

1. Registrieren Sie geplante Aufgaben mit zufälligen alphanumerischen Namen wie „AdobeFlashUpdate“ oder „JavaRuntimeCheck“, die beim Systemstart oder in der Leerlaufzeit ausgelöst werden.

2. Schreiben Sie Registrierungs-Run-Schlüssel unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit Base64-codierten Befehlszeichenfolgen, die PowerShell-basierte Loader dekodieren und starten.

3. Legen Sie DLLs im Verzeichnis %WINDIR%\System32\drivers ab und registrieren Sie sie als Legacy-Filtertreiber, die vor der Initialisierung im Benutzermodus ausgeführt werden sollen.

4. Missbrauchen Sie WMI-Ereignisabonnements, um neue Instanzen zu erzeugen, wenn bestimmte Systemereignisse auftreten – beispielsweise bei jeder erfolgreichen Anmeldung oder jedem erfolgreichen Start eines Dienstes.

5. Speichern Sie verschlüsselte Nutzdaten in alternativen Datenströmen (ADS) legitimer Systemdateien wie notepad.exe, um heuristische Dateiscans zu umgehen.

Häufige Fragen und direkte Antworten

F1: Warum verschwindet der Task-Manager, wenn ein Silent Miner aktiv ist? Einige Miner injizieren in explorer.exe oder binden Win32-APIs ein, die vom Task-Manager verwendet werden, was zu einem UI-Fehler oder einem sofortigen Abbruch beim Start führt.

F2: Kann Antivirus run64.bat erkennen, auch wenn es umbenannt wurde? Ja – die Verhaltensanalyse kennzeichnet ungewöhnliche untergeordnete Prozesse, die von cmd.exe mit langen kryptischen Argumenten gestartet werden, unabhängig vom Dateinamen.

F3: Was passiert, wenn ich svchost.exe aus C:\Windows\dell lösche? Der von NSSM installierte Dienst schlägt fehl, aber das übergeordnete Skript startet ihn möglicherweise innerhalb von Sekunden erneut, sofern die geplante Aufgabe oder der Registrierungseintrag nicht ebenfalls entfernt wird.

F4: Wie kann ich überprüfen, ob ein Prozess Mining durchführt, ohne den Task-Manager zu öffnen? Verwenden Sie PowerShell: Get-Process | Where-Object {$_.CPU -gt 80} | ForEach-Object { $_.Id; (Get-WmiObject Win32_Process -Filter 'ProcessID=$($_.Id)').CommandLine }