Windows でサイレント マイニングを設定するにはどうすればよいですか? (バックグラウンドタスク)

ステルスマイニングのためのシステム最適化

1. 「システムのプロパティ」→「詳細設定」→「パフォーマンス設定」で視覚効果を「最高のパフォーマンス」に調整します。これにより、GUI のオーバーヘッドが削減され、CPU サイクルが解放されます。

2. 仮想メモリを手動で 16GB に構成します。 [詳細設定] → [パフォーマンス] → [仮想メモリ] → [変更] に移動し、自動管理を無効にしてカスタム サイズを設定します。

3. グループ ポリシー エディター (gpedit.msc) を使用して Windows Update を永久に無効にします。 [コンピューターの構成] → [管理用テンプレート] → [Windows コンポーネント] → [Windows Update] → [自動更新の構成] に移動し、[無効] を選択します。

4. 電源プランを「高パフォーマンス」に設定し、スリープ/休止状態を「なし」に構成します。 [コントロール パネル] → [ハードウェアとサウンド] → [電源オプション] からアクセスします。

5. グループ ポリシー エディターの [コンピューターの構成] → [管理用テンプレート] → [Windows コンポーネント] → [Microsoft Defender ウイルス対策] で [Windows Defender ウイルス対策をオフにする] を有効にして、Windows Defender をオフにします。

プロセス隠蔽テクニック

1. システム プロセスを模倣するように悪意のあるバイナリの名前を変更します: svchost.exe、winlogon.exe、spoolsv.exe — すべては C:\Windows\daozai や C:\Windows\dell などの非標準ディレクトリ内に配置されます。

2. NSSM (Non-Sucking Service Manager) を使用して、マイニング実行可能ファイルを Windows サービスとしてインストールします。これにより、再起動後の永続性が保証され、正当なサービス ホストの下にプロセスの祖先が隠蔽されます。

3. 階層化されたバッチ スクリプトを通じてマイニング バイナリを起動します。 run.bat は run64.bat をトリガーし、ストラタム URL やウォレット アドレスなどの難読化されたパラメーターを使用してマイナーを実行します。

4. デバッグ情報を削除し、バイナリ内に XOR エンコードされた文字列を埋め込んで、エンドポイント検出ツールによる静的分析を回避します。

5. 起動スクリプトに埋め込まれた wevtutil.exe コマンドを使用して実行後に​​イベント ログをクリアし、初期アクセスのフォレンジック トレースを消去します。

ネットワーク回避戦略

1. 従来のマイニング トラフィック パターンとブレンドするために、ポート 5555 または 3333 (通常は Monero および Cryptonight プールに関連付けられている) を介してアウトバウンド接続をルーティングします。

2. DNS ログを回避するために、ドメイン名の代わりに IP アドレスをハードコードします。プールのエンドポイントをオフラインで解決し、生の IPv4 アドレスを構成ファイルに直接埋め込みます。

3. 標準の HTTP タイムアウトに一致する TCP キープアライブ間隔を実装して、積極的なポーリングではなく、無害なバックグラウンド同期動作を模倣します。

4. データ漏洩または C2 アクティビティに対する一般的な IDS しきい値アラートを下回るように、接続ごとの帯域幅使用量を 10KB/秒未満に制限します。

5. パブリック マイニング プールにトラフィックを転送するカスタム プロキシ リレーに接続する場合は、自己署名証明書とともに TLS 1.2 を使用し、最終的な宛先をネットワーク検査から隠します。

永続化メカニズム

1. システム起動時またはアイドル時にトリガーされる、「AdobeFlashUpdate」や「​​JavaRuntimeCheck」などのランダムな英数字名を使用してスケジュールされたタスクを登録します。

2. PowerShell ベースのローダーをデコードして起動する、base64 でエンコードされたコマンド文字列を使用して、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run の下にレジストリ Run キーを書き込みます。

3. DLL を %WINDIR%\System32\drivers ディレクトリにドロップし、ユーザー モードの初期化前に実行する従来のフィルター ドライバーとして登録します。

4. WMI イベント サブスクリプションを悪用して、特定のシステム イベントが発生するたびに (たとえば、ログオンが成功するたびやサービスが開始されるたびに) 新しいインスタンスを生成します。

5. ファイル スキャンのヒューリスティックをバイパスするために、暗号化されたペイロードを notepad.exe などの正規のシステム ファイルの代替データ ストリーム (ADS) 内に保存します。

よくある質問と直接の回答

Q1: サイレントマイナーがアクティブなときにタスクマネージャーが消えるのはなぜですか?一部のマイナーは、explorer.exe に挿入したり、タスク マネージャーで使用される Win32 API をフックしたりして、UI のエラーや起動時の即時終了を引き起こします。

Q2: run64.bat の名前が変更された場合でも、ウイルス対策プログラムは run64.bat を検出できますか?はい - 動作分析は、ファイル名に関係なく、長い不可解な引数を使用して cmd.exe から起動された異常な子プロセスにフラグを立てます。

Q3: C:\Windows\dell から svchost.exe を削除するとどうなりますか? NSSM によってインストールされたサービスは失敗しますが、スケジュールされたタスクまたはレジストリ エントリも削除されない限り、親スクリプトは数秒以内にサービスを再起動する可能性があります。

Q4: タスク マネージャーを開かずに、プロセスがマイニングされているかどうかを確認するにはどうすればよいですか? PowerShell を使用します: Get-Process | Where-オブジェクト {$_.CPU -gt 80} | ForEach-Object { $_.Id; (Get-WmiObject Win32_Process -Filter 'ProcessID=$($_.Id)').CommandLine }