Windows에서 자동 마이닝을 설정하는 방법은 무엇입니까? (백그라운드 작업)

스텔스 마이닝을 위한 시스템 최적화

1. 시스템 속성 → 고급 → 성능 설정을 통해 시각 효과를 '최고 성능'으로 조정합니다. 이는 GUI 오버헤드를 줄이고 CPU 주기를 확보합니다.

2. 가상 메모리를 16GB로 수동으로 구성합니다. 고급 → 성능 → 가상 메모리 → 변경으로 이동한 다음 자동 관리를 비활성화하고 사용자 정의 크기를 설정하세요.

3. 그룹 정책 편집기(gpedit.msc)를 사용하여 Windows 업데이트를 영구적으로 비활성화합니다. 컴퓨터 구성 → 관리 템플릿 → Windows 구성 요소 → Windows 업데이트 → 자동 업데이트 구성 → '사용 안 함'을 선택합니다.

4. 전원 계획을 '고성능'으로 설정하고 절전/최대 절전 모드를 '사용 안 함'으로 구성합니다. 제어판 → 하드웨어 및 소리 → 전원 옵션을 통해 액세스합니다.

5. 그룹 정책 편집기의 컴퓨터 구성 → 관리 템플릿 → Windows 구성 요소 → Microsoft Defender 바이러스 백신에서 'Windows Defender 바이러스 백신 끄기'를 활성화하여 Windows Defender를 끕니다.

프로세스 은폐 기술

1. 시스템 프로세스를 모방하기 위해 악성 바이너리의 이름을 바꿉니다: svchost.exe, winlogon.exe, spoolsv.exe — 모두 C:\Windows\daozai 또는 C:\Windows\dell과 같은 비표준 디렉터리에 위치합니다.

2. NSSM(Non-Sucking Service Manager)을 사용하여 마이닝 실행 파일을 Windows 서비스로 설치합니다. 이를 통해 재부팅 시 지속성을 보장하고 합법적인 서비스 호스트에서 프로세스 조상을 숨깁니다.

3. 계층화된 배치 스크립트를 통해 채굴 바이너리 실행: run.bat는 계층 URL 및 지갑 주소를 포함한 난독화된 매개변수로 채굴기를 실행하는 run64.bat를 트리거합니다.

4. 엔드포인트 탐지 도구에 의한 정적 분석을 피하기 위해 디버그 정보를 제거하고 바이너리 내부에 XOR 인코딩 문자열을 삽입합니다.

5. 시작 스크립트에 포함된 wevtutil.exe 명령을 사용하여 실행 후 이벤트 로그를 지워 초기 액세스에 대한 포렌식 추적을 지웁니다.

네트워크 회피 전략

1. 일반적으로 Monero 및 Cryptonight 풀과 연결되는 포트 5555 또는 3333을 통해 아웃바운드 연결을 라우팅하여 레거시 채굴 트래픽 패턴과 혼합합니다.

2. DNS 로깅을 피하기 위해 도메인 이름 대신 IP 주소를 하드코딩합니다. 풀 끝점을 오프라인으로 확인하고 원시 IPv4 주소를 구성 파일에 직접 포함합니다.

3. 표준 HTTP 시간 제한과 일치하는 TCP 연결 유지 간격을 구현하여 공격적인 폴링보다는 온화한 백그라운드 동기화 동작을 모방합니다.

4. 데이터 유출 또는 C2 활동에 대한 일반적인 IDS 임계값 경고 미만으로 유지하려면 연결당 대역폭 사용량을 10KB/s 미만으로 제한하십시오.

5. 공용 마이닝 풀로 트래픽을 전달하는 사용자 정의 프록시 릴레이에 연결할 때 자체 서명된 인증서와 함께 TLS 1.2를 사용하여 네트워크 검사에서 최종 목적지를 모호하게 합니다.

지속성 메커니즘

1. 시스템 시작 또는 유휴 시간에 트리거되는 'AdobeFlashUpdate' 또는 'JavaRuntimeCheck'와 같은 임의의 영숫자 이름으로 예약된 작업을 등록합니다.

2. PowerShell 기반 로더를 디코딩하고 실행하는 base64 인코딩 명령 문자열을 사용하여 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 아래에 레지스트리 실행 키를 작성합니다.

3. DLL을 %WINDIR%\System32\drivers 디렉터리에 놓고 사용자 모드 초기화 전에 실행할 레거시 필터 드라이버로 등록합니다.

4. WMI 이벤트 구독을 남용하여 특정 시스템 이벤트가 발생할 때마다(예: 모든 성공적인 로그온 또는 서비스 시작 시) 새 인스턴스를 생성합니다.

5. notepad.exe와 같은 합법적인 시스템 파일의 대체 데이터 스트림(ADS) 내에 암호화된 페이로드를 저장하여 파일 검색 경험적 방법을 우회합니다.

일반적인 질문 및 직접 답변

Q1: 자동 채굴기가 활성화되면 작업 관리자가 사라지는 이유는 무엇입니까? 일부 채굴자는 Explorer.exe에 삽입하거나 작업 관리자에서 사용하는 Win32 API를 후크하여 UI 오류를 일으키거나 실행 시 즉시 종료됩니다.

Q2: 이름이 바뀌어도 바이러스 백신이 run64.bat를 탐지할 수 있습니까? 예 — 동작 분석은 파일 이름에 관계없이 긴 암호 인수를 사용하여 cmd.exe에서 시작된 비정상적인 하위 프로세스에 플래그를 지정합니다.

Q3: C:\Windows\dell에서 svchost.exe를 삭제하면 어떻게 됩니까? NSSM 설치 서비스가 실패하지만 예약된 작업이나 레지스트리 항목도 제거되지 않으면 상위 스크립트가 몇 초 내에 서비스를 다시 생성할 수 있습니다.

Q4: 작업 관리자를 열지 않고 프로세스가 마이닝 중인지 어떻게 확인할 수 있나요? PowerShell 사용: Get-Process | Where-객체 {$_.CPU -gt 80} | ForEach-객체 { $_.Id; (Get-WmiObject Win32_Process -Filter 'ProcessID=$($_.Id)').CommandLine }