CPU で Monero をマイニングし、アンチウイルスによるフラグを回避するにはどうすればよいですか?

ウイルス対策の誤検知について理解する

1. XMRig のような暗号通貨マイニング ソフトウェアは、ウイルス対策エンジンによってマルウェアとして誤認されることがよくあります。これは、コードに悪意があるためではなく、高い CPU 使用率、プロセス インジェクション、および既知のマイニング プールへのネットワーク接続を敵対的なアクティビティに関連付ける動作ヒューリスティックによって発生します。

2. 検出ロジックは、シグネチャ ベースとランタイム パターン マッチングに依存しており、どちらも正当なマイニング動作と大きく重複します。オープンソースのマイナーは、そのバイナリが脅威インテリジェンス プラットフォーム全体に広く配布され、分析されるため、この脆弱性に対して特に脆弱です。

3. Microsoft Defender、Bitdefender、および Kaspersky はすべて、XMRig バイナリが変更や難読化を適用せずにxmrig.comから直接ダウンロードした場合でもアラートをトリガーすることを確認する公開アドバイザリを発行しました。

4. これらの検出は、マイナーがフォアグラウンド モードで実行されるか、Windows サービスとして実行されるか、または WSL2 で実行されるかに関係なく持続します。これは、分類が動的実行コンテキストではなく静的アーティファクト分析に根ざしていることを示しています。

5. 公式のウイルス対策ベンダーは、マイニング ツールのオプトアウト ホワイトリストを提供していません。つまり、ユーザーはセットアップ中に除外を手動で構成するか、リアルタイム スキャンを無効にする必要があります。この手順には管理者権限と正確なパス指定が必要です。

安全な設置方法

1. XMRig は常に公式 GitHub リポジトリ( https://github.com/xmrig/xmrig/releases )から直接ダウンロードし、追加のペイロードを挿入する可能性のあるサードパーティのミラーやバンドルされたインストーラーを避けてください。

2. メンテナが提供する GPG 署名を使用して、各リリースの整合性を検証します。公開キーのフィンガープリントはプロジェクトの README で公開されており、 gpg --verify xmrig-xxx-x64.zip.ascの出力と一致する必要があります。

3. C:\Windows 、 C:\Program Filesなどのシステム パスの外側の専用ディレクトリ、または CrowdStrike や SentinelOne などのエンドポイント検出システムによって監視されているフォルダーにアーカイブを抽出します。

4. 既存の Windows システム バイナリと競合しないようにしながら、実行可能ファイルの名前をxmrig.exeからsysmon.exeやhwprobe.exeなどのわかりやすい名前に変更します。

5. マイナーを起動する前に Windows Defender の制御されたフォルダー アクセスを無効にし、 [設定] > [更新とセキュリティ] > [Windows セキュリティ] > [ウイルスと脅威の保護] > [設定の管理] > [除外の追加または削除]でインストール フォルダー全体を除外リストに追加します。

実行時構成の調整

1. --no-huge-pagesフラグを指定して XMRig を起動し、EDR エージェントがクリプトマイニング ワークロードを検出するために使用するメモリ マッピング ヒューリスティックのトリガーを回避します。

2. コアの完全な使用を許可する代わりに--cpu-max-threads-hint=4を使用してスレッド アフィニティを明示的に設定し、動作分析によってフラグが立てられる 95% 以上の CPU 負荷パターンが継続する可能性を減らします。

3. --randomx-no-rdmsrオプションを使用して、モデル固有のレジスタ読み取りを抑制します。これは一般に低レベルのハードウェア悪用に関連し、ハイパーバイザー ベースのセキュリティ層によってログに記録されることが多い手法です。

4. プレーンテキスト エンドポイントではなく、TLS 対応の Stratum ポート ( pool.minexmr.com:4444など) を介して接続するようにマイナーを構成し、ディープ パケット インスペクションがプロトコル フィンガープリントに基づいてマイニング トラフィックを識別するのを防ぎます。

5. SYSTEM アカウントまたは LOCAL SERVICE アカウントでマイナーを実行しないようにします。代わりに、最小限の権限を持つ標準ユーザー アカウントを作成し、そのコンテキスト内で XMRig を対話的に実行します。

よくある質問と回答

Q: IT アラートをトリガーせずに、企業が管理するラップトップで XMRig を使用できますか? A: 確実ではありません。エンタープライズ エンドポイント保護スイートは、プロセスの作成、親子関係、レジストリ永続化メカニズムをアクティブに監視します。非標準パスから起動された署名付きバイナリであっても、中央の SIEM システムに記録されるテレメトリ イベントが生成されます。

Q: XMRig をソースからコンパイルするとウイルス対策の検出率は低下しますか? A: ほんのわずかです。カスタム ビルドは一部のハッシュ ベースの署名をバイパスしますが、最新の AV エンジンはコンパイラ アーティファクト、シンボル テーブル、制御フロー グラフでトレーニングされた機械学習モデルを適用するため、ソースからコンパイルされたバリアントを引き続き検出可能にします。

Q: ウイルス対策ソフトがすでに XMRig をサイレントにブロックしているかどうかを確認する方法はありますか? A: はい。 Windows イベント ビューアの[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [Windows Defender] > [Operational]でイベント ID 1116 を確認します。ブロックされた実行が SHA-256 ハッシュで記録されます。

Q: ウイルス対策の警告を無視して XMRig を強制実行するとどうなりますか? A: バイナリは最初は実行される可能性がありますが、リアルタイム保護モジュールによって数秒以内に終了される可能性があります。一部のベンダーは、ファイルの削除、レジストリ変更のロールバック、マイナーによって生成された子プロセスの強制終了などの実行後修復を導入しています。