Меню Рубрики

Майнинг на windows server 2003

Машина по выкачиванию денег: майнер Monero

Пока мир ждет, где нанесут новый удар знаменитые кибергруппы типа Lazarus или Telebots, вооруженные аналогами WannaCry или Petya, операторы менее резонансных кампаний
зарабатывают без лишнего шума. Одна из таких операций продолжается как минимум с мая 2017 года. Атакующие заражают веб-серверы Windows вредоносным майнером криптовалюты Monero (XMR).

Злоумышленники, стоящие за данной кампанией, модифицировали легитимный майнер на базе открытого исходного кода и использовали уязвимость в Microsoft IIS 6.0 CVE-2017-7269 для скрытой установки малвари на непропатченные серверы. За три месяца мошенники создали ботнет из нескольких сотен зараженных серверов и заработали на Monero больше 63 тысяч долларов.

Пользователи ESET защищены от любых попыток использования уязвимости CVE-2017-7269, даже если их машины пока не пропатчены, как это было с эксплойтом EternalBlue, используемым в распространении WannaCry.

Monero или Bitcoin?

Несмотря на рост курса биткоина, Monero имеет несколько преимуществ, которые делают эту криптовалюту весьма привлекательной для майнинга с помощью вредоносного ПО. Это невозможность отследить транзакции и доказать применение алгоритма CryptoNight, который использует компьютерные и серверные CPU и GPU (в отличие от биткоина, для добычи которого нужно специализированное оборудование).

В течение последнего месяца курс Monero вырос с 40 до 150 долларов, а затем снизился до 100 долларов.


Рисунок 1. Свечной график курса XMR/USD в августе 2017 года

Криптомайнер

Впервые обнаруженное in-the-wild 26 мая 2017 года, вредоносное ПО для майнинга – модификация легитимного майнера Monero на базе открытого исходного кода xmrig (версия 0.8.2, представленная 26 мая 2017 года).

Авторы вредоносного майнера не меняли оригинальную кодовую базу, только добавили жестко закодированные аргументы командной строки с адресом своего кошелька и майнинговым пулом URL, а также несколько аргументов для уничтожения ранее запущенных экземпляров малвари во избежание конкуренции. Подобная доработка занимает не больше пары минут – неудивительно, что мы обнаружили малварь в день выпуска базовой версии xmrig.

Вы можете видеть модифицированный майнер злоумышленников и его сравнение с доступным исходным кодом на рисунке ниже.



Рисунок 2. Сравнение кода исходной и модифицированной версий майнера

Сканирование и эксплуатация

Доставка майнера на компьютеры жертв – наиболее сложная часть операции, но даже здесь атакующие использовали самый простой подход. Мы выявили два IP-адреса, с которых осуществляется брутфорс-сканирование на предмет уязвимости CVE-2017-7269. Оба адреса указывают на серверы в облаке Amazon Web Services.

Уязвимость, которую использовали атакующие, обнаружили в марте 2017 года исследователи Чжи Ниан Пэн (Zhiniang Peng) и Чэнь Ву (Chen Wu). Это уязвимость в службе WebDAV, которая является частью Microsoft IIS версии 6.0 в ОС Windows Server 2003 R2. Уязвимость переполнения буфера в функции ScStoragePathFromUrl запускается, когда уязвимый сервер обрабатывает вредоносный НТТР-запрос. В частности, специально сформированный запрос PROPFIND приводит к переполнению буфера. Подробный анализ механизма описан Хавьером М. Меллидом и доступен по ссылке. Уязвимость подвержена эксплуатации, поскольку находится в службе веб-сервера, которая в большинстве случаев должна быть доступна из интернета и ее легко использовать.

Шелл-код является ожидаемым действием загрузки и выполнения (загрузка dasHost.exe из hxxt://postgre[.]tk/ в папку %TEMP%):


Рисунок 3. Шелл-код, доставленный эксплойтом

По нашим данным, первая эксплуатация этой уязвимости in-the-wild произведена всего через два дня после публикации ее описания 26 марта 2017 года. С тех пор уязвимость активно используется.

Новый вредоносный майнер впервые замечен 26 мая 2017 года. С этого момента он распространяется волнообразно – это означает, что злоумышленники продолжают поиски уязвимых машин.


Рисунок 4. График волн заражения

Сканирование всегда выполняется с одного IP-адреса, вероятнее всего, машины, которая размещена на облачном сервере Amazon, арендованном злоумышленниками.

Статистика

Статистика майнингового пула была общедоступной, поэтому мы можем видеть совокупный хешрейт всех жертв, предоставивших вычислительные мощности для майнинга. Постоянное значение достигало 100 килохешей в секунду (kH/s) с пиками до 160 kH/s в конце августа 2017 года, которые мы связываем с кампаниями, запущенными 23 и 30 августа.

В целом, зараженные машины добывали порядка 5,5 XMR в день к концу августа. Заработок в течение трех месяцев составил 420 XMR. При курсе 150 долларов за 1 XMR, доход операторов майнера составлял 825 долларов в день и больше 63 000 долларов в общей сложности.

Атакующие активизировались в конце августа, но с начала сентября мы не наблюдаем новых заражений. Более того, поскольку в майнере не предусмотрен механизм персистентности, атакующие начинают терять скомпрометированные машины, а общий хешрейт упал до 60 kH/s. Это не первый перерыв в деятельности кибергруппы, скорее всего, в ближайшем будущем стартует новая кампания.

Нам неизвестно точное число пострадавших, но мы можем примерно оценить его по общему хешрейту. Согласно показателям CPU, хешрейт высокопроизводительного процессора Intel i7 достигает 0,3–0,4 kH/s. В данной кампании используются системы под управлением Windows Server 2003, которые, скорее всего, работают на старом оборудовании со сравнительно слабыми процессорами. Поэтому средний хешрейт жертвы будет намного ниже, а общее число инфицированных машин – выше; можно говорить о сотнях жертв.


Рисунок 6. Статистика кошелька атакующих, предоставленная майнинговым пулом

Заключение

В основе данной кампании – легитимный майнер с открытым исходным кодом и некоторое число машин с устаревшими необновленными операционными системами. Для получения прибыли операторам вредоносного майнера пришлось лишь незначительно доработать код, эксплуатационные расходы минимальны.

ESET детектирует вредоносный бинарный файл майнера как троян Win32/CoinMiner.AMW, попытки эксплуатации уязвимости на сетевом уровне как webDAV/ExplodingCan. Это реальный пример пакета, который будет заблокирован:


Рисунок 5. Специальный HTTP-запрос с шелл-кодом

Microsoft завершила поддержку Windows Server 2003 в июле 2015 года и не выпускала патчей для уязвимости CVE-2017-7269 до июня 2017 года — пока критические уязвимости для устаревших операционных систем не привлекли пристальное внимание вирусописателей. Во избежание масштабных деструктивных атак наподобие эпидемии WannaCry корпорация приняла решение закрыть эти уязвимости. Тем не менее, поддерживать Windows Server 2003 довольно сложно, поскольку автоматические обновления не всегда хорошо работают (это подтверждает, например, пост Клинта Боссена). Следовательно, большая часть систем по-прежнему уязвима. Мы настоятельно рекомендуем пользователям Windows Server 2003 как можно скорее установить KB3197835 и другие обновления безопасности (если автоматическое обновление не работает, загрузите патч вручную!).

Индикаторы компрометации

Сайты загрузки:
hxxp://postgre.tk
hxxp://ntpserver.tk

IP адреса источника атаки:
54.197.4.10
52.207.232.106
18.220.190.151

Хеши:
31721AE37835F792EE792D8324E307BA423277AE
A0BC6EA2BFA1D3D895FE8E706737D490D5FE3987
37D4CC67351B2BD8067AB99973C4AFD7090DB1E9
0902181D1B9433B5616763646A089B1BDF428262
0AB00045D0D403F2D8F8865120C1089C09BA4FEE
11D7694987A32A91FB766BA221F9A2DE3C06D173
9FCB3943660203E99C348F17A8801BA077F7CB40
52413AE19BBCDB9339D38A6F305E040FE83DEE1B

Источник

Как выбрать дистрибутив Windows и настроить систему для майнинга

Настройка операционной системы под нужды пользователя нужна для всех, кто хочет наслаждаться максимально быстрой работой своего компьютера.

Каждый хочет быть уверенным в отсутствии сторонних и ненужных программ, которые не только потребляют лишние ресурсы, но и могут перехватить на себя контроль над работой компьютера, воровать его вычислительную мощность и приватную информацию.

Особенно важны правильный выбор ОС и ее оптимальная настройка для майнеров. Это нужно в первую очередь для:

  • обеспечения максимальной быстроты работы рига;
  • уменьшения простоев от различных сбоев;
  • оптимизации энергопотребления;
  • увеличения комфорта пользователя.

В этой статье подробно рассматриваются вопросы, связанные с подбором и настройкой Windows для майнеров.

Выбор дистрибутива операционной системы для майнинга

Самой простой и удобной для майнинга и домашнего использования в настоящее время является ОС Windows.

Для видеокарт АМД поддержка майнинга на уровне драйверов осуществляется только для линейки Windows 10.

Если в риге использовать только видеокарты Nvidia и старые AMD (до серии RX) в количестве до 8 штук, то можно использовать и Windows 7 или 8.1, но в этом случае на некачественном железе могут возникать проблемы с настройкой. Обычно они решаются с помощью мода, но при использовании боле четырех карт лучше все же использовать Windows 10 LTSB/ LTSC или Linux.

В пользу Windows10 говорит и то, что компания Intel в сговоре с Майкрософтом прекратила официальную поддержку процессоров от поколения Coffee Lake и выше в старых системах. Хотя на материнскую плату с новым Coffee Lake и можно накатить Windows 7, но драйвера на встроенный в процессор видеоускоритель установить не получится. Если не использовать этот PC для других целей, кроме майнинга, на это можно наплевать, но в случае параллельного использования компа для работы и майнинга это неприемлемо.

Самыми лучшими релизами десятки для майнинга являются Windows 10 серий Enterprise, например, LTSB (релиз 1607) и ее преемница Windows 10 LTSC (релиз 1809). Скачать официальные тестовые версии систем можно здесь. В них отключено большинство ненужных для майнинга опций и они потребляют меньше ресурсов на бесполезные функции.

Виды ОС Windows10 с долгосрочным обслуживанием:

Окно свойств компьютера с установленной Windows 10 LTSB:

Эта же система в утилите hw64:

При использовании более 12 видеокарт нужно использовать версии Windows 10 не ниже 1709 и выше (от Fall Creators Update и позднее), лучше Win10LTSC. Если использовать только карты Nvidia или 6 АМД + 6 Nvidia, то 12 штук заведется и на LTSB.

При выборе/скачивании дистрибутива не нужно полагаться на доброту умельцев, бесплатно распространяющих в сети пиратские версии ОС. Лучше скачать официальную версию системы и спокойно ее использовать, не обращая внимания на надпись о необходимости активации, или купить самую дешевую лицензию, чем получить сюрприз в виде взлома аккаунта от трояна, встроенного в пиратку от «доброжелателя».

Настройка операционной системы для майнинга

Настройка ОС, после установки всех драйверов и программ, заключается в проведении следующих действий:

  • отключение ненужных и вредных (шпионских), модулей, служб, сервисов и запланированных задач;
  • отключение режимов SLI (Нвидиа)/CrossFire (АМД), если они включены, включение режима вычислений в драйверах AMD;

Порядок установки и настройки драйверов для майнинга описывается в статье «Правильная установка драйверов GPU для майнинга». О разгоне видеокарт АМД для майнинга можно почитать в статье «Разгон видеокарт АМД для майнинга программой OverdriveNTool», аналогичная информация, но для видеокарт Nvidis содержится в статье «Оптимизация потребления видеокарт Nvidia при майнинге»;

  • отключение автоматических обновлений, спящего режима (гибернации), ненужных служб, спецэффектов;
  • выбор правильного режима энергопотребления (максимальная энергоэффективность);
  • увеличение объема доступной виртуальной памяти;
  • установка программных/аппаратных вотчдогов;

Об одном из лучших аппаратных watchdog-ов можно почитать в статье «Использование Watchdog v 9.0 для обеспечения бесперебойной работы рига», хороший программный вотчдог от Acrefawn можно взять здесь).

  • тестирование работы рига и устранение возможных ошибок в разгоне, а также не выявленных на первоначальных этапах проблем.

Кроме настройки ОС, нужно не забывать о настройке BIOS материнской платы, в которой нужно включить работу с памятью выше 4G, уменьшить скорость портов PCI-E до 1.0, отключить для увеличения доступных ресурсов встроенную видеокарту и ненужные порты и т.д.

Рассмотрим подробнее, какие действия нужно осуществить для настройки операционных систем семейства Windows для майнинга.

Отключение ненужных служб и удаление лишних программ

Лишние службы и обновления можно легко отключить в ручном режиме. Это можно сделать по множеству гайдов, доступных в интернете, но это занимает много времени.

В полуавтоматическом режиме это можно сделать с помощью скрипта Windows10MiningTweaksDmW, доступного для скачивания на Github-е.

Скриншот настройки компьютера утилитой Windows10MiningTweaksDmW:

Этот скрипт позволяет осуществлять пошаговое отключение ненужных служб и опций в Windows 10, а также в других ОС Windows. После его использования нужно еще раз зайти в службы Windows и выбрать режим установки обновлений. Для майнинга его лучше полностью отключать.

Отключение автоматического обновления (Windows update)

Автоматическая установка новых версий драйверов для видеокарт АМД обычно приводит к отключению режима компьютерных вычислений (Compute mode) ,что приводит к значительному падению хешрейта, особенно при майнинге на алгоритме Ethash. Кроме того, автоматическое обновление значительно загружает интернет-трафик, сами обновления занимают много места и отбирают часть ресурсов.

Периодически Microsoft интегрирует различные шпионские закладки в свои обновления? которые не только тормозят систему, но и воруют личную информацию о пользователе. Поэтому к установке обновлений нужно относится с особой внимательностью, а на машинах, которые используются исключительно для майнинга, лучше их вообще отключать. В системах поколений Windows 7/8/8.1 это делается довольно просто путем отключения служб автоматического обновления и фоновой передачи данных, но в Windows 10 это не столь легко.

Даже после использования утилиты Windows10MiningTweaksDmW нужно полностью отключать автоматическое обновление через меню администрирования (отключают службы: Центр автоматического обновления, фоновую интеллектуальную службу передачи и Update Orchestrator Service) и запрещать выполнение задания Schedule Scan.

Для запрета Schedule Scan нужно выполнить два действия:

В окне командного интерпретатора от имени админа (папка C:\Windows\System32, файл Cmd.exe) выполняют команду takeown /f c:\windows\system32\usoclient.exe /a.

После появления сообщения об успехе отключают все разрешения в свойствах файла usoclient.exe, который находится в папке C:\Windows\System32:

Удаление разрешений на изменение свойств файла usoclient.exe:

Увеличение объема доступной виртуальной памяти

Объем виртуальной памяти в системе важен при майнинге большинства криптовалют, в особенности тех, блокчейны которых используют данные DAG (например, Ethereum).

Чтобы подготовить виртуальную память Windows 10 для майнинга, нужно ее увеличить до величины, равной сумме установленной в системе видеопамяти. Это требует наличия необходимого места на носителе, а также его хорошего быстродействия. Это можно сделать несколькими способами, например:

  1. Одновременно нажать Win+R, набрать в появившемся окне команду sysdm.cpl;

  1. Перейти по вкладкам Дополнительно-Параметры-Быстродействие, выбрать Дополнительно-Изменить.

  1. Отключить автоматический выбор файла подкачки, указав фиксированный размер виртуальной памяти, который должен быть больше суммарной памяти видеокарт.
  2. Нажать «Задать» и, при необходимости, перезагрузить компьютер.

Отключение ненужных служб и спящего режима в ручном режиме

Увеличить быстродействие рига и уменьшить загрузку процессора и оперативной памяти можно так:

  1. Отключить украшения, удаленного помощника, неиспользуемые службы;
  2. Удалить лишние/неиспользующиеся компоненты Windows;
  3. Удалить лишние программы из автозапуска;
  4. Отключить спящий режим/гибернациию;
  5. Отключить индексацию дисков, службу защиты программного обеспечения и контроля учетных записей;
  6. Периодически производить очистку реестра и диска с установленной системой от ненужных записей/файлов;
  7. Периодически дефрагментировать жесткий диск или оптимизировать SSD.

Отключение ненужных украшательств производится на вкладке свойств «моего компьютера», где по пути дополнительно – параметры — визуальные эффекты нужно активировать режим наилучшего быстродействия:

В окне свойств системы на вкладке удаленного доступа нужно отключить подключение удаленного помощника:

Для автоматизирования процесса деактивации других бесполезных служб и блокирования серверов обновления MIcrosoft стоит использовать сторонние утилиты, например, Destroy Windows Spying и/или Windows10MiningTweaksDmW.

Для деактивации бесполезных служб в ручном режиме нужно, нажав Win+R, ввести команду services.msc и отключить в окне администрирования служб все ненужное, например:

  • WindowsSearch;
  • Program Compatibility Assistant Service;
  • Windows Biometric Service;
  • Кортана;
  • сервер;
  • рабочая станция;
  • клиент отслеживания изменившихся связей;
  • WinHTTP Web Proxy Auto-Discovery Service;
  • вторичный вход в систему;
  • регистрация ошибок;
  • перечислитель переносных устройств;
  • автономные файлы;
  • диспетчер печати, защищённое хранилище;
  • служба ввода планшетного ПК;
  • поддержка NetBIOS через TCP/IP;
  • удалённый реестр;
  • центр обеспечения безопасности;
  • Auto Time Zone Updater;
  • Delivery Optimization;
  • темы;
  • аудиослужбы.

Скриншот окна администрирования служб на компьютере, настроенном для майнинга:

Кроме того, периодически стоит проверять, что входит в автозагрузку компьютера. Для этого можно использовать официальную утилиту от Майкрософта Autoruns. В автозапуске Windows нужно оставлять только программы для майнинга, утилиты для разгона и Watchdog-и.

Скриншот информации утилиты Autoruns домашнего компьютера, использующегося для майнинга (в обычном риге антивирус не нужен):

Настройка режима электропитания системы для майнинга

Чтобы компьютер периодически не засыпал и не отключал при этом майнинг, необходимо использовать схему высокой производительности электропитания.

Во вкладке управления электропитанием системы в меню дополнительных планов нужно активировать схему высокой производительности и выключить гибридный спящий режим. Кроме этого, нужно отключить эту пожирающую память опцию через командный интерпретатор. Для этого нужно нажать Win+R, ввести и выполнить от имени админа команду powercfg hibernate off.

Отключение гибернации в командном интерпретаторе:

Оптимальная настройка компьютера для майнинга позволит насладиться его безупречной работой в круглосуточном режиме и без простоев. Кроме того, отключение лишних функций в ОС даст прирост производительности, который положительно скажется на доходе от майнинга, в особенности при майнинге на процессоре.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Майнинг на windows phone
  • Майнинг монеро на windows xp
  • Майнинг windows xp 32 bit
  • Майнинг windows server 2012
  • Майнинг burst client for windows