- 19,427
- 40
- 8 Ноя 2022
Ботнет-империя пала от собственного оружия.
Специалисты компании Akamai Для просмотра ссылки Войдиили Зарегистрируйся подробный отчёт о двух новых методах, которые позволяют выводить из строя криптомайнинговые ботнеты. Эти способы направлены на нарушение работы майнинговых сетей за счёт использования уязвимостей их архитектуры и политики пулов. В компании пояснили, что изучили принципы работы популярных топологий Для просмотра ссылки Войди или Зарегистрируйся и нашли подходы, которые позволяют настолько снизить эффективность работы Для просмотра ссылки Войди или Зарегистрируйся , что злоумышленникам придётся или кардинально менять свою инфраструктуру, или полностью отказываться от кампании.
Ключевым элементом атаки стал широко применяемый протокол Для просмотра ссылки Войдиили Зарегистрируйся , который используется для взаимодействия майнеров с пулами. Если грамотно вмешаться в работу этого протокола, можно добиться блокировки прокси-сервера или кошелька злоумышленников, что фактически останавливает всё майнинговое оборудование.
Первый из описанных методов получил название bad shares. Он заключается в том, что злоумышленники защищают свои реальные кошельки и пулы через промежуточные прокси. Однако именно эти прокси становятся уязвимым звеном. Специалисты смогли сымитировать подключение к такому прокси как будто это легальный майнер. После подключения инструмент начинает отправлять некорректные результаты вычислений — так называемые bad shares. Эти данные проходят через прокси и попадают на пул, где автоматически фиксируются как ошибки. Если таких ошибочных пакетов накапливается достаточно, пул блокирует сам прокси-сервер. В результате весь ботнет, работающий через него, моментально прекращает майнинг, а загрузка процессора жертв падает с 100% до 0.
Второй метод предназначен для случаев, когда ботнет напрямую подключается к публичным пулам без прокси. Многие такие сервисы предусматривают временную блокировку кошелька, если за короткое время с ним подключаются более 1000 майнеров. По мнению специалистов, если имитировать более тысячи таких подключений с кошельком злоумышленника, это вынуждает пул автоматически забанить адрес на час. При этом важно учитывать, что как только множественные подключения прекращаются, злоумышленник может восстановить работу своего кошелька и продолжить майнинг. Однако регулярное повторение этой процедуры способно серьёзно затруднить работу ботнета и свести доходность атаки к нулю.
В отчёте подчеркивается, что, несмотря на то что данные методы были испытаны на ботнетах, добывающих криптовалюту Для просмотра ссылки Войдиили Зарегистрируйся , их можно адаптировать и для других монет, использующих аналогичные протоколы и архитектуры.
По словам авторов, преимущества такого подхода заключаются в том, что он не затрагивает добросовестных пользователей и не нарушает работу самих пулов. Легальные майнеры могут быстро сменить IP-адрес или кошелёк, чтобы продолжить работу, а вот владельцам ботнета для восстановления потребуется перестроить всю инфраструктуру, что значительно сложнее и затратнее. Особенно это критично для менее опытных злоумышленников, которые не обладают достаточными ресурсами для оперативной модернизации своей схемы.
Специалисты компании Akamai Для просмотра ссылки Войди
Ключевым элементом атаки стал широко применяемый протокол Для просмотра ссылки Войди
Первый из описанных методов получил название bad shares. Он заключается в том, что злоумышленники защищают свои реальные кошельки и пулы через промежуточные прокси. Однако именно эти прокси становятся уязвимым звеном. Специалисты смогли сымитировать подключение к такому прокси как будто это легальный майнер. После подключения инструмент начинает отправлять некорректные результаты вычислений — так называемые bad shares. Эти данные проходят через прокси и попадают на пул, где автоматически фиксируются как ошибки. Если таких ошибочных пакетов накапливается достаточно, пул блокирует сам прокси-сервер. В результате весь ботнет, работающий через него, моментально прекращает майнинг, а загрузка процессора жертв падает с 100% до 0.
Второй метод предназначен для случаев, когда ботнет напрямую подключается к публичным пулам без прокси. Многие такие сервисы предусматривают временную блокировку кошелька, если за короткое время с ним подключаются более 1000 майнеров. По мнению специалистов, если имитировать более тысячи таких подключений с кошельком злоумышленника, это вынуждает пул автоматически забанить адрес на час. При этом важно учитывать, что как только множественные подключения прекращаются, злоумышленник может восстановить работу своего кошелька и продолжить майнинг. Однако регулярное повторение этой процедуры способно серьёзно затруднить работу ботнета и свести доходность атаки к нулю.
В отчёте подчеркивается, что, несмотря на то что данные методы были испытаны на ботнетах, добывающих криптовалюту Для просмотра ссылки Войди
По словам авторов, преимущества такого подхода заключаются в том, что он не затрагивает добросовестных пользователей и не нарушает работу самих пулов. Легальные майнеры могут быстро сменить IP-адрес или кошелёк, чтобы продолжить работу, а вот владельцам ботнета для восстановления потребуется перестроить всю инфраструктуру, что значительно сложнее и затратнее. Особенно это критично для менее опытных злоумышленников, которые не обладают достаточными ресурсами для оперативной модернизации своей схемы.
- Источник новости
- www.securitylab.ru
