내 CPU로 Monero를 채굴하고 바이러스 백신에 의해 플래그가 표시되는 것을 방지하는 방법은 무엇입니까?

바이러스 백신 오탐지 이해

1. XMRig와 같은 암호화폐 채굴 소프트웨어는 바이러스 백신 엔진에 의해 악성 코드로 잘못 식별되는 경우가 많습니다. 이는 코드가 악의적이어서가 아니라 높은 CPU 사용량, 프로세스 주입, 알려진 마이닝 풀에 대한 네트워크 연결을 적대적인 활동과 연관시키는 행동 경험적 방법으로 인해 발생합니다.

2. 탐지 논리는 서명 기반 및 런타임 패턴 일치에 의존합니다. 둘 다 합법적인 마이닝 동작과 크게 겹칩니다. 오픈 소스 채굴자는 바이너리가 위협 인텔리전스 플랫폼 전반에 걸쳐 널리 배포되고 분석되기 때문에 이에 특히 취약합니다.

3. Microsoft Defender, Bitdefender 및 Kaspersky는 수정이나 난독화를 적용하지 않고 xmrig.com 에서 직접 다운로드하는 경우에도 XMRig 바이너리가 경고를 트리거함을 확인하는 공개 권고를 모두 발표했습니다.

4. 이러한 탐지는 광부가 포그라운드 모드, Windows 서비스 또는 WSL2에서 실행되는지 여부에 관계없이 지속됩니다. 이는 분류가 동적 실행 컨텍스트가 아닌 정적 아티팩트 분석에 뿌리를 두고 있음을 나타냅니다.

5. 공식 바이러스 백신 공급업체는 채굴 도구에 대한 옵트아웃 화이트리스트를 제공하지 않습니다. 즉, 사용자는 설정 중에 제외를 수동으로 구성하거나 실시간 검색을 비활성화해야 합니다. 이 단계에는 관리 권한과 정확한 경로 지정이 필요합니다.

안전한 설치 방법

1. 항상 공식 GitHub 저장소 (https://github.com/xmrig/xmrig/releases )에서 XMRig를 직접 다운로드하세요. 추가 페이로드를 주입할 수 있는 타사 미러나 번들 설치 프로그램을 피하세요.

2. 관리자가 제공한 GPG 서명을 사용하여 각 릴리스의 무결성을 확인합니다. 공개 키 지문은 프로젝트의 README에 게시되어 있으며 gpg --verify xmrig-xxx-x64.zip.asc 의 출력과 일치해야 합니다.

3. C:\Windows , C:\Program Files 등 시스템 경로 외부의 전용 디렉터리나 CrowdStrike 또는 SentinelOne과 같은 엔드포인트 탐지 시스템에서 모니터링하는 폴더에 아카이브를 추출합니다.

4. 기존 Windows 시스템 바이너리와 충돌하지 않는지 확인하면서 xmrig.exe 의 실행 파일 이름을 덜 알아보기 쉬운 이름(예: sysmon.exe 또는 hwprobe.exe 으로 바꿉니다.

5. 광부를 시작하기 전에 Windows Defender의 제어된 폴더 액세스를 비활성화하고 설정 > 업데이트 및 보안 > Windows 보안 > 바이러스 및 위협 방지 > 설정 관리 > 제외 추가 또는 제거를 통해 전체 설치 폴더를 제외 목록에 추가합니다.

런타임 구성 조정

1. 암호화폐 채굴 워크로드를 감지하기 위해 EDR 에이전트가 사용하는 메모리 매핑 휴리스틱이 트리거되는 것을 방지하려면 --no-huge-pages 플래그를 사용하여 XMRig를 시작합니다.

2. 전체 코어 활용을 허용하는 대신 --cpu-max-threads-hint=4 사용하여 명시적으로 스레드 선호도를 설정하여 동작 분석에 의해 표시된 95% 이상의 CPU 로드 패턴이 지속될 가능성을 줄입니다.

3. --randomx-no-rdmsr 옵션을 사용하여 모델별 레지스터 읽기를 억제합니다. 이 기술은 일반적으로 낮은 수준의 하드웨어 악용과 관련되고 하이퍼바이저 기반 보안 계층에 의해 기록되는 기술입니다.

4. 일반 텍스트 엔드포인트가 아닌 TLS 지원 Stratum 포트(예: pool.minexmr.com:4444 )를 통해 연결하도록 마이너를 구성하여 심층 패킷 검사가 프로토콜 지문을 기반으로 마이닝 트래픽을 식별하는 것을 방지합니다.

5. SYSTEM 또는 LOCAL SERVICE 계정으로 마이너를 실행하지 마십시오. 대신, 최소한의 권한으로 표준 사용자 계정을 생성하고 해당 컨텍스트 내에서 XMRig를 대화형으로 실행하십시오.

일반적인 질문과 답변

Q: IT 경고를 트리거하지 않고 회사 관리 노트북에서 XMRig를 사용할 수 있습니까? A: 안정적이지 않습니다. 엔터프라이즈 엔드포인트 보호 제품군은 프로세스 생성, 상위-하위 관계 및 레지스트리 지속성 메커니즘을 적극적으로 모니터링합니다. 비표준 경로에서 실행된 서명된 바이너리라도 중앙 SIEM 시스템에 기록된 원격 측정 이벤트를 생성합니다.

Q: 소스에서 XMRig를 컴파일하면 바이러스 백신 탐지율이 감소합니까? A: 미미하게요. 맞춤형 빌드는 일부 해시 기반 서명을 우회하지만 최신 AV 엔진은 컴파일러 아티팩트, 기호 테이블 및 제어 흐름 그래프에 대해 훈련된 기계 학습 모델을 적용하므로 소스에서 컴파일된 변형을 여전히 탐지 가능성이 높습니다.

Q: 내 바이러스 백신이 이미 XMRig를 자동으로 차단했는지 확인할 수 있는 방법이 있습니까? 답: 그렇습니다. 응용 프로그램 및 서비스 로그 > Microsoft > Windows > Windows Defender > 작동 에서 Windows 이벤트 뷰어를 확인하여 SHA-256 해시로 차단된 실행을 기록하는 이벤트 ID 1116을 확인하세요.

Q: 바이러스 백신 경고를 무시하고 XMRig를 강제 실행하면 어떻게 되나요? A: 바이너리는 처음에 실행될 수 있지만 실시간 보호 모듈에 의해 몇 초 내에 종료될 가능성이 높습니다. 일부 공급업체는 파일을 삭제하고, 레지스트리 변경 사항을 롤백하고, 마이너가 생성한 하위 프로세스를 종료하는 실행 후 수정을 배포합니다.