Один час — и ботнеты исчезнут. И всё благодаря одному числу — 1000
NewsMakerБотнет-империя пала от собственного оружия.
Специалисты компании Akamai опубликовали подробный отчёт о двух новых методах, которые позволяют выводить из строя криптомайнинговые ботнеты. Эти способы направлены на нарушение работы майнинговых сетей за счёт использования уязвимостей их архитектуры и политики пулов. В компании пояснили, что изучили принципы работы популярных топологий майнинга и нашли подходы, которые позволяют настолько снизить эффективность работы ботнета , что злоумышленникам придётся или кардинально менять свою инфраструктуру, или полностью отказываться от кампании.
Ключевым элементом атаки стал широко применяемый протокол Stratum , который используется для взаимодействия майнеров с пулами. Если грамотно вмешаться в работу этого протокола, можно добиться блокировки прокси-сервера или кошелька злоумышленников, что фактически останавливает всё майнинговое оборудование.
Первый из описанных методов получил название bad shares. Он заключается в том, что злоумышленники защищают свои реальные кошельки и пулы через промежуточные прокси. Однако именно эти прокси становятся уязвимым звеном. Специалисты смогли сымитировать подключение к такому прокси как будто это легальный майнер. После подключения инструмент начинает отправлять некорректные результаты вычислений — так называемые bad shares. Эти данные проходят через прокси и попадают на пул, где автоматически фиксируются как ошибки. Если таких ошибочных пакетов накапливается достаточно, пул блокирует сам прокси-сервер. В результате весь ботнет, работающий через него, моментально прекращает майнинг, а загрузка процессора жертв падает с 100% до 0.
Второй метод предназначен для случаев, когда ботнет напрямую подключается к публичным пулам без прокси. Многие такие сервисы предусматривают временную блокировку кошелька, если за короткое время с ним подключаются более 1000 майнеров. По мнению специалистов, если имитировать более тысячи таких подключений с кошельком злоумышленника, это вынуждает пул автоматически забанить адрес на час. При этом важно учитывать, что как только множественные подключения прекращаются, злоумышленник может восстановить работу своего кошелька и продолжить майнинг. Однако регулярное повторение этой процедуры способно серьёзно затруднить работу ботнета и свести доходность атаки к нулю.
В отчёте подчеркивается, что, несмотря на то что данные методы были испытаны на ботнетах, добывающих криптовалюту Monero , их можно адаптировать и для других монет, использующих аналогичные протоколы и архитектуры.
По словам авторов, преимущества такого подхода заключаются в том, что он не затрагивает добросовестных пользователей и не нарушает работу самих пулов. Легальные майнеры могут быстро сменить IP-адрес или кошелёк, чтобы продолжить работу, а вот владельцам ботнета для восстановления потребуется перестроить всю инфраструктуру, что значительно сложнее и затратнее. Особенно это критично для менее опытных злоумышленников, которые не обладают достаточными ресурсами для оперативной модернизации своей схемы.
Специалисты компании Akamai опубликовали подробный отчёт о двух новых методах, которые позволяют выводить из строя криптомайнинговые ботнеты. Эти способы направлены на нарушение работы майнинговых сетей за счёт использования уязвимостей их архитектуры и политики пулов. В компании пояснили, что изучили принципы работы популярных топологий майнинга и нашли подходы, которые позволяют настолько снизить эффективность работы ботнета , что злоумышленникам придётся или кардинально менять свою инфраструктуру, или полностью отказываться от кампании.
Ключевым элементом атаки стал широко применяемый протокол Stratum , который используется для взаимодействия майнеров с пулами. Если грамотно вмешаться в работу этого протокола, можно добиться блокировки прокси-сервера или кошелька злоумышленников, что фактически останавливает всё майнинговое оборудование.
Первый из описанных методов получил название bad shares. Он заключается в том, что злоумышленники защищают свои реальные кошельки и пулы через промежуточные прокси. Однако именно эти прокси становятся уязвимым звеном. Специалисты смогли сымитировать подключение к такому прокси как будто это легальный майнер. После подключения инструмент начинает отправлять некорректные результаты вычислений — так называемые bad shares. Эти данные проходят через прокси и попадают на пул, где автоматически фиксируются как ошибки. Если таких ошибочных пакетов накапливается достаточно, пул блокирует сам прокси-сервер. В результате весь ботнет, работающий через него, моментально прекращает майнинг, а загрузка процессора жертв падает с 100% до 0.
Второй метод предназначен для случаев, когда ботнет напрямую подключается к публичным пулам без прокси. Многие такие сервисы предусматривают временную блокировку кошелька, если за короткое время с ним подключаются более 1000 майнеров. По мнению специалистов, если имитировать более тысячи таких подключений с кошельком злоумышленника, это вынуждает пул автоматически забанить адрес на час. При этом важно учитывать, что как только множественные подключения прекращаются, злоумышленник может восстановить работу своего кошелька и продолжить майнинг. Однако регулярное повторение этой процедуры способно серьёзно затруднить работу ботнета и свести доходность атаки к нулю.
В отчёте подчеркивается, что, несмотря на то что данные методы были испытаны на ботнетах, добывающих криптовалюту Monero , их можно адаптировать и для других монет, использующих аналогичные протоколы и архитектуры.
По словам авторов, преимущества такого подхода заключаются в том, что он не затрагивает добросовестных пользователей и не нарушает работу самих пулов. Легальные майнеры могут быстро сменить IP-адрес или кошелёк, чтобы продолжить работу, а вот владельцам ботнета для восстановления потребуется перестроить всю инфраструктуру, что значительно сложнее и затратнее. Особенно это критично для менее опытных злоумышленников, которые не обладают достаточными ресурсами для оперативной модернизации своей схемы.