Bitcoin-bányászati ​​botnet létrehozása költség nélkül

A Las Vegas-i Black Hat 2014 konferencián Rob Ragan és Oscar Salazar, a Fox Bishop penetrációs tesztelői bemutatták a felhőalapú bitcoin-bányászat technikáját, amely pontosan… semmit sem fizetett nekik. Ebben a pillanatban egy bitcoin 576, 57 dollárt ér. Ilyen izmos árfolyam mellett a bitcoin-bányászat hatalmas számítási erőforrások elkülönítése nélkül elég jövedelmező lehet.

Ez nem pontosan legitim tevékenység, de akkor egy penetrációs tesztelő feladata a rendszerek felcsapása annak javítása érdekében. Ragan megjegyezte, hogy a kísérlet "megsértette a pokolot bizonyos szolgáltatási feltételek miatt". A szükséges feldolgozási teljesítmény eléréséhez hatalmas számú egyedi e-mail címet kellett generálniuk, és rengeteg ingyenes próbafiókot regisztráltak. Ezt követően sikerült felépíteni egy teljesen működőképes bitcoin-bányászati ​​botnet. Ragan szerint "Ezt a botnetet nem lehet malwareként megjelölni, az internetes szűrők blokkolni vagy átvenni. Ez a rémálmok dolga!"

A részletek ásása

"Penetrációs tesztelők vagyunk" - mondta Ragan. "Az elmúlt évben dolgoztunk ezen a projekten. Megmutattuk, hogy szabadon elérhető felhőalapú szolgáltatásokból feltétlenül építhetünk botnetet. Feltettük a kérdést, hogy az elégtelen automatizálás elleni küzdelem figyelmen kívül hagyja-e a kockázatot? Tíz elsőnek kell tekinteni? sebezhetőség?"

"Ezek a felhőalapú szolgáltatások sok különféle dolgot csinálnak, " mondta Salazar, "de a cél az, hogy lehetővé tegyék a fejlesztőknek, hogy valami azonnal működésbe lépjenek." "Kivágja az összes lábmunkát, és lehetővé teszi az alkalmazás lehető leggyorsabb elkészítését" - tette hozzá Ragan. "A platform mint szolgáltatás olyan áru, amelyre nagy igény van. De ha ez megkönnyíti a fejlesztő életét, akkor nem teszi-e ez megkönnyítené a rosszindulatú támadókat is? Pontosan ezt fedeztük fel."

Korlátlan e-mail címek

Mindannyian tapasztalatunk van egy weboldal vagy szolgáltatás regisztrációjára, és azt mondják, hogy a regisztráció befejeződik, ha rákattintunk egy e-mail linkre. Tészta kutatóinknak módra volt szükségük ennek a folyamatnak a teljes automatizálásához.

Az ülésen pontosan kifejtették, hogyan sikerült korlátlan e-mail fiókot létrehozni reális felhasználónevekkel és különféle tartományok széles választékával. A következő lépés az volt, hogy automatikus választ állítson be ezekre a fiókokra, hogy azok válaszolhassanak minden „Kattintson erre a linkre a megerősítéshez” e-mailre. Működött! Ezen a ponton volt egy rendszerük, amely korlátlan egyedi e-maileket hoz létre emberi kapcsolat nélkül. Az összes adatot felhőalapú MongoDB ingyenes próbaverziójával tárolták. Igen, a résztvevők megkaphatják a kódot, amelyet a kísérletben használtak.

Szórakoztató tevékenységek!

"Ezen a ponton megtehetjük például a DDoS-t, a kripto-valuta bányászatot, az adattárolást és még sok minden mást" - mondta Ragan. "Penetrációs tesztelőkként a cél az volt, hogy elosztott bot-hálózatunk legyen ellenőrzésünk alatt." Határozottan értékes volt egy szelíd botnet létrehozása a white-hat DDoS tesztek indítására az önkéntes ügyfelekkel szemben.

Kipróbálták azt, hogy mi lehetséges, ha korlátlan számú "barát" e-mail címe van. Számos online tárolórendszer további gigabájtot biztosít a barátok sikeres hivatkozásához. Egyesek korlátozzák az így megszerezhető teljes összeget, mások nem. "Ingyenes terabájtot kaptunk egy szolgáltatásra" - mondta Ragan -, ami több, mint amit még fizetni is tudsz."

A csúcspontján a kísérleti LiteCoin-bányászati ​​botnet napi mintegy 25 cent jövedelmet generált számlánként. 1000 aktív számlával napi 250 dollár. "Nem akartuk, hogy rosszindulatúak legyenek, csak azért, hogy megmutassuk, hogyan történik." - mondta Ragan -, így abbahagytunk. De hallottunk már arról, hogy az emberek sok pénzt keresnek rövid idő alatt. néhány hétig, csak hogy megnézhessék, felismerik-e őket. Nem voltak"

Anti-automatizálás

A kísérlet során számos szolgálat felülvizsgálta igazolási rendszerét az automatikus számlák létrehozásának legyőzése érdekében. Még azt is állították, hogy az oka a botnetek elterjedése volt.

Természetesen ennek a gyakorlatnak nem az volt a célja, hogy rosszul megszerzett haszonnal járjon. Most, hogy egyértelmű, hogy mit lehet tenni a próbafiókok segítségével, valószínű, hogy a szolgáltatók további védekező eszközöket adnak a rendszerük visszaélésének megakadályozására. "Rengeteg módon lehet azonosítani az embereket idegesítő felhasználók nélkül" - mondta Ragan. Példaként említette a logikai rejtvényeket, a hitelkártyával történő érvényesítést és még az élő szolgáltatókat is. Nyilvánvalónak tűnik, hogy bármilyen felhőszolgáltatás jelentős anti-automatizálás nélkül valószínűleg több botnetet tárol, mint a valódi felhasználók.