Създаване на ботнет за добив на биткойн без никакви разходи

На конференцията на Black Hat 2014 в Лас Вегас, Роб Раган и Оскар Салазар, тестерите за проникване от Bishop Fox, демонстрираха техника за добив на биткойн в облак, която им струва точно… нищо. В този момент един биткойн струва $ 576, 57. При такъв тежък валутен курс, извличането на биткойни без нужда от отделяне на масивни изчислителни ресурси може да бъде доста доходоносно.

Това не е точно законна дейност, но тогава работата на проникващ тестер е да хакне системи, за да ги закърпи. Раган отбеляза, че експериментът „наруши адът при някои условия на обслужване“. За да получат достъп до необходимата обработваща мощ, те трябваше да генерират огромен брой уникални имейл адреси и да се регистрират за тонове безплатни пробни акаунти. След като направиха това, те успяха да построят напълно функционален ботнет за добив на биткойни. Според Раган, „Този ​​ботнет не се маркира като зловреден софтуер, блокира се от уеб филтри или не се превзема. Това са нещата от кошмарите!“

Изкопаване на детайлите

"Ние сме тестери за проникване", каза Раган. "Работим по този проект през последната година. Показахме, че определено можем да изградим ботнет от свободно достъпни облачни услуги. Зададохме въпроса, недостатъчна ли е антиавтоматизация, пренебрегван риск? Трябва ли да се счита за топ десет уязвимост?"

"Тези облачни услуги правят много различни неща, " каза Салазар, "но целта е да се даде възможност на разработчиците да получат нещо и да работят веднага". „Той отрязва цялата крака и ви позволява да изградите приложение възможно най-бързо“, добави Раган. „Платформата като услуга е стока, която е много търсена. Но ако това улеснява живота на разработчика, не би ли това също улеснило злонамерения нападател? Точно това проучихме.“

Неограничени имейл адреси

Всички сме имали опит да се регистрирате за уебсайт или услуга и да ни бъде казано, че регистрацията ще бъде финализирана, когато щракнем върху имейл връзка. Нашите изследователи се нуждаеха от начин да автоматизират напълно този процес.

Сесията обясни подробно как успяха да създадат неограничени имейл акаунти с реалистични потребителски имена и голямо разнообразие от различни домейни. Следващата стъпка беше да настроите автоматичен отговор за тези акаунти, така че те да могат да отговорят на всеки имейл „Кликнете върху тази връзка за потвърждение“. Проработи! В този момент те имаха система за създаване на неограничени уникални имейли без човешко взаимодействие. И те съхраниха всички подробности, като използваха безплатна пробна версия на облачния базиран MongoDB. Да, присъстващите ще могат да получат целия код, използван в този експеримент.

Забавни дейности!

"В този момент можем да правим неща като DDoS, извличане на криптовалута, съхранение на данни и други", каза Раган. „Като тестери за проникване целта беше да имаме разпределен ботнет под наш контрол.“ Да имаш опитен ботнет за стартиране на DDoS тестове с бели шапки срещу желаещи клиенти определено беше ценно.

Те експериментираха с какво е възможно, когато имате имейл адреси за неограничен брой „приятели“. Много системи за онлайн съхранение ви дават допълнителни гигабайти за успешно препращане на приятели. Някои ограничават общата сума, която можете да спечелите по този начин, други не. „Имаме терабайт безплатно за една услуга - каза Раган, „ което е повече, отколкото можете дори да платите “.

В своя пик експерименталният ботнет на LiteCoin добив генерираше около 25 цента на ден на сметка. С 1000 активни акаунта, това е $ 250 на ден. "Не искахме да бъдем злонамерени, просто да покажем как се прави", каза Раган, "затова спряхме. Но чухме за хора, които правят много пари за кратко време. Оставихме няколко акаунта да работят в продължение на няколко седмици, само за да видя дали ще бъдат открити. Те не са били

Анти-Automation

По време на експеримента редица услуги преразгледаха системите си за проверка, за да победят автоматичното създаване на акаунти. Една дори заяви, че причината е разпространението на ботнети.

Разбира се, целта на това упражнение не беше да генерира зле получени печалби. Сега, когато е ясно какво може да се направи с пробни акаунти, вероятно доставчиците ще добавят повече защити, за да предотвратят злоупотребата със своите системи. "Има много начини да идентифицираме хората без досадни потребители", каза Раган. Той спомена примери, включващи логически пъзели, валидиране с кредитна карта и дори оператори на живо. Изглежда ясно, че всяко облачно обслужване без значителна антиавтоматизация вероятно ще се окаже, че има повече ботнети от реалните потребители.