Video: testing my bitcoin mining botnet (November 2024)
Op de Black Hat 2014-conferentie in Las Vegas demonstreerden Rob Ragan en Oscar Salazar, penetratietesters van Bishop Fox, een techniek voor cloud-gebaseerde bitcoin-mining die hen precies… niets kostte. Op dit moment is één bitcoin $ 576, 57 waard. Met zo'n forse wisselkoers kan bitcoin-mining zonder de noodzaak om enorme computerresources te gebruiken, behoorlijk lucratief zijn.
Het is niet echt een legitieme activiteit, maar dan is het de taak van een penetratietester om systemen te hacken om ze te patchen. Ragan merkte op dat het experiment "de hel overtreden uit sommige servicevoorwaarden". Om toegang te krijgen tot de benodigde verwerkingskracht, moesten ze een groot aantal unieke e-mailadressen genereren en zich aanmelden voor tonnen gratis proefaccounts. Daarmee slaagden ze erin om een volledig functioneel bitcoin-mining botnet te bouwen. Volgens Ragan: "Dit botnet wordt niet gemarkeerd als malware, geblokkeerd door webfilters of overgenomen. Dit is het spul van nachtmerries!"
Opgraven van de details
"Wij zijn penetratietesters, " zei Ragan. "We hebben het afgelopen jaar aan dit project gewerkt. We hebben laten zien dat we zeker een botnet kunnen bouwen van vrij beschikbare cloudservices. We stelden de vraag: is onvoldoende anti-automatisering een over het hoofd gezien risico? Moet het als een top tien worden beschouwd?" kwetsbaarheid?"
"Deze cloudgebaseerde services doen veel verschillende dingen, " zei Salazar, "maar het doel is om ontwikkelaars meteen iets aan de gang te krijgen." "Het bespaart al het beenwerk en laat je een applicatie zo snel mogelijk bouwen", voegde Ragan toe. "Platform als een service is een product waar veel vraag naar is. Maar als het het leven van een ontwikkelaar gemakkelijker maakt, zou het dan niet ook dingen gemakkelijker maken voor een kwaadwillende aanvaller? Dat is precies wat we hebben onderzocht."
Onbeperkte e-mailadressen
We hebben allemaal de ervaring gehad om ons te registreren voor een website of service en ons werd verteld dat de registratie definitief zou zijn als we op een e-maillink klikten. Onze deegachtige onderzoekers hadden een manier nodig om dit proces volledig te automatiseren.
De sessie legde in detail uit hoe ze onbeperkt e-mailaccounts konden maken met realistische gebruikersnamen en een grote verscheidenheid aan verschillende domeinen. De volgende stap was het instellen van automatisch antwoord voor die accounts, zodat ze konden reageren op elke e-mail 'Klik op deze link om te bevestigen'. Het werkte! Op dit moment hadden ze een systeem om onbeperkt unieke e-mails te maken zonder menselijke interactie. En ze hebben alle details opgeslagen met een gratis proefversie van cloud-gebaseerde MongoDB. Ja, deelnemers kunnen alle code ophalen die in dit experiment is gebruikt.
Leuke activiteiten!
"Op dit moment kunnen we dingen doen zoals DDoS, crypto-valuta mining, data-opslag en meer, " zei Ragan. "Als penetratietesters was het doel om een gedistribueerd botnet onder onze controle te hebben." Het was absoluut waardevol om een tam botnet te hebben om white-hat DDoS-tests tegen gewillige klanten te starten.
Ze experimenteerden met wat mogelijk is als je e-mailadressen hebt voor een onbeperkt aantal 'vrienden'. Veel online opslagsystemen geven u extra gigabytes voor het succesvol doorverwijzen van vrienden. Sommigen beperken het totale bedrag dat u op deze manier kunt verdienen, anderen niet. "We hebben een terabyte gratis op één service, " zei Ragan, "dat is meer dan je zelfs kunt betalen."
Op zijn hoogtepunt genereerde het experimentele LiteCoin-mining-botnet ongeveer 25 cent per dag per account. Met 1.000 actieve accounts is dat $ 250 per dag. "We wilden niet kwaadaardig zijn, alleen maar om te laten zien hoe het is gedaan, " zei Ragan, "dus we stopten. Maar we hebben gehoord dat mensen in korte tijd veel geld verdienden. We hebben wel een paar accounts laten draaien voor enkele weken, gewoon om te zien of ze zouden worden gedetecteerd. Ze waren niet"
Anti-Automation
In de loop van het experiment hebben een aantal services hun verificatiesystemen herzien om het automatisch maken van accounts te beëindigen. Eén beweerde zelfs dat de reden een proliferatie van botnets was.
Het doel van deze oefening was natuurlijk niet om slecht verkregen winst te genereren. Nu het duidelijk is wat kan worden gedaan met proefaccounts, zullen de providers waarschijnlijk meer verdediging toevoegen om misbruik van hun systemen te voorkomen. "Er zijn tal van manieren om mensen te identificeren zonder gebruikers te irriteren, " zei Ragan. Hij noemde voorbeelden zoals logische puzzels, validatie met een creditcard en zelfs live operators. Het lijkt duidelijk dat elke cloud-server zonder significante anti-automatisering waarschijnlijk meer botnets herbergt dan echte gebruikers.
