Video: 6/28/19 Cryptocurrency Mining Botnet Arrives Through ADB | AT&T ThreatTraq (Lokakuu 2024)
Las Vegasissa pidetyssä Black Hat 2014 -konferenssissa Bishop Foxin tunkeutumisen testaajat Rob Ragan ja Oscar Salazar esittelivät pilvipohjaisen bitcoin-louhinnan tekniikan, joka maksoi heille tarkalleen… ei mitään. Tällä hetkellä yhden bitcoinin arvo on 576, 57 dollaria. Tällaisella mojovalla vaihtokurssilla bitcoinin louhinta ilman tarvetta omistaa massiivisia laskentaresursseja voi olla melko tuottoisaa.
Se ei ole juuri laillista toimintaa, mutta silloin tunkeutumisen testaajan tehtävänä on hakkeroida järjestelmät niiden korjaamiseksi. Ragan totesi, että kokeilu "loukkasi helvettiä tietyistä palvelusehdoista". Saavuttaakseen tarvittavan käsittelytehon he joutuivat luomaan valtavan määrän ainutlaatuisia sähköpostiosoitteita ja kirjautumaan tonneille ilmaisia kokeilutilejä. Tämän jälkeen he onnistuivat rakentamaan täysin toimivan bitcoin-louhinta bottiverkon. Raganin mukaan "tätä bottiverkkoa ei ilmoiteta haittaohjelmaksi, web-suodattimet eivät estä sitä tai ota sitä haltuunsa. Nämä ovat painajaisten juttuja!"
Tietojen kaivaminen
"Olemme tunkeutumisen testaajia", sanoi Ragan. "Olemme työskennelleet tämän projektin parissa viime vuoden ajan. Osoimme, että voimme ehdottomasti rakentaa bottiverkon vapaasti saatavissa olevista pilvipalveluista. Kysyimme, onko riittämätön automaation vastainen huomioimaton riski? Pitäisikö sitä pitää kymmenen parhaan joukossa? haavoittuvuus?"
"Nämä pilvipohjaiset palvelut tekevät monia erilaisia asioita", sanoi Salazar, "mutta tarkoituksena on antaa kehittäjille saada jotain valmiiksi ja ajamaan heti." "Se leikkaa kaiken jalkatyön ja antaa sinun rakentaa sovelluksen mahdollisimman nopeasti", lisäsi Ragan. "Alusta palveluna on hyödyke, jonka kysyntä on suuri. Mutta jos se tekee kehittäjän elämästä helpompaa, eikö se myös helpottaisi asioita haitallisella hyökkääjällä? Juuri sitä me tutkimme."
Rajoittamaton sähköpostiosoite
Meillä kaikilla on ollut kokemusta verkkosivuston tai palvelun rekisteröinnistä ja meille ilmoitetaan, että rekisteröinti viimeistellään, kun napsautamme sähköpostilinkkiä. Taikinaiset tutkijamme tarvitsivat tavan automatisoida tämä prosessi täysin.
Istunto selitti yksityiskohtaisesti, kuinka he onnistuivat luomaan rajoittamattomia sähköpostitilejä realistisilla käyttäjätunnuksilla ja monilla eri verkkotunnuksilla. Seuraava vaihe oli määrittää automaattinen vastaus näille tileille, jotta ne voisivat vastata kaikkiin "Napsauta tätä linkkiä vahvistaa" -sähköposteihin. Se toimi! Tässä vaiheessa heillä oli järjestelmä luoda rajattomasti ainutlaatuisia sähköposteja ilman ihmisen vuorovaikutusta. Ja he tallensivat kaikki yksityiskohdat pilvipohjaisen MongoDB: n ilmaisen kokeilun avulla. Kyllä, osallistujat voivat saada kaiken koodin, jota käytettiin tässä kokeilussa.
Hauskoja aktiviteetteja!
"Tässä vaiheessa voimme tehdä asioita, kuten DDoS, salausvaluutan louhinta, tietojen tallennus ja paljon muuta", Ragan sanoi. "Tunkeutumisen testaajina tavoitteena oli hajautetun bottiverkon hallinta. Epävarmassa bottiverkossa aloittaminen white-hat DDoS -testeissä halukkaita asiakkaita vastaan oli ehdottomasti arvokas.
He kokeilivat vain mitä mahdollista, kun sinulla on sähköpostiosoitteita rajoittamattomalle määrälle "ystäviä". Monet online-tallennusjärjestelmät antavat sinulle ylimääräisen gigatavua ystävien onnistuneelle lähettämiselle. Jotkut rajoittavat kokonaismäärän, jonka voit saada tällä tavalla, toiset eivät. "Saimme teratavan ilmaiseksi yhdestä palvelusta", sanoi Ragan, "mikä on enemmän kuin voit jopa maksaa."
Huipussaan kokeellinen LiteCoin-kaivosbottiverkko tuotti noin 25 senttiä päivässä tiliä kohti. 1000 aktiivisella tilillä se on 250 dollaria päivässä. "Emme halunneet olla haitallisia, vain osoittaaksesi kuinka se tapahtuu", sanoi Ragan, "joten lopetimme. Mutta olemme kuulleet ihmisten ansaitsevan paljon rahaa lyhyessä ajassa. Jäimme pari tiliä käynnissä useiden viikkojen ajan vain nähdäksesi, olisiko he havaittu. He eivät olleet"
Anti-Automation
Kokeen aikana useat palvelut tarkistivat todentamisjärjestelmiään estääkseen automaattisen tilien luomisen. Yksi jopa totesi syyn bottiverkkojen leviämiseen.
Tietenkään tämän harjoituksen tarkoitus ei ollut tuottaa huonosti saatuja voittoja. Nyt kun on selvää, mitä kokeilutileillä voidaan tehdä, palveluntarjoajat todennäköisesti lisäävät suojauksia estääkseen järjestelmiensä väärinkäytöksiä. "On paljon tapoja tunnistaa ihmiset ilman ärsyttäviä käyttäjiä", sanoi Ragan. Hän mainitsi esimerkkejä, kuten logiikkapelit, validointi luottokortilla ja jopa live-operaattorit. Vaikuttaa selvältä, että mikä tahansa pilvipalvelu ilman merkittävää automaation vastaista automaatiota todennäköisesti sisältää enemmän robotteja kuin todelliset käyttäjät.
