Onderzoekers van cybersecurity hebben gedetailleerde twee nieuwe methoden die kunnen worden gebruikt om botnetten van cryptocurrency mijnbouw te verstoren.
De methoden maken gebruik van het ontwerp van verschillende gemeenschappelijke mijntopologieën om het mijnbouwproces te sluiten, zei Akamai in een nieuw rapport dat vandaag is gepubliceerd.
“We hebben twee technieken ontwikkeld door gebruik te maken van de mijntopologieën en poolbeleid waarmee we de effectiviteit van een cryptominer Botnet kunnen verminderen tot het punt om het volledig af te sluiten, wat de aanvaller dwingt om radicale veranderingen aan te brengen in hun infrastructuur of zelfs de hele campagne te verlaten,” zei beveiligingsonderzoeker Maor Dahan.
De technieken, zei het webinfrastructuurbedrijf, hangen af van het exploiteren van het stratum -miningprotocol zodat het de mijnbouwproxy of portemonnee van een aanvaller ervoor zorgt dat de operatie effectief wordt verstoord.
De eerste van de twee benaderingen, gesynchroniseerde slechte aandelen, houdt in dat de mijnbouwproxy wordt verbannen uit het netwerk, dat op zijn beurt resulteert in de afsluiting van de gehele operatie en het CPU -gebruik van het slachtoffer daalt van 100% naar 0%.
Terwijl een mijnbouwproxy fungeert als een tussenpersoon en de mijnbad van een aanvaller beschermt en, bij uitbreiding, hun portemonnee -adressen, wordt het ook een enkel punt van falen door zich te verstoren met zijn reguliere functie.
“Het idee is eenvoudig: door verbinding te maken met een kwaadaardige proxy als mijnwerker, kunnen we ongeldige mijnbouwresultaten indienen – slechte aandelen – die de volmachtvalidatie zullen omzeilen en aan het zwembad worden ingediend,” legde Dahan uit. “Opeenvolgende slechte aandelen zullen uiteindelijk de proxy verboden krijgen, waardoor mijnbouwactiviteiten effectief worden gestopt voor het hele cryptomining -botnet.”
Dit betekent op zijn beurt het gebruik van een interne ontwikkeld tool genaamd Xmrogue om zich voor te doen als een mijnwerker, verbinding te maken met een mijnbouwproxy, opeenvolgende slechte aandelen in te dienen en uiteindelijk de mijnbouwproxy uit de pool te verbieden.
De tweede methode die door Akamai wordt bedacht scenario’s waarin een slachtoffermijnwerker rechtstreeks is verbonden met een openbare pool zonder een proxy, waardoor het feit wordt gebruikt dat het zwembad het adres van een portemonnee voor een uur kan verbieden als het meer dan 1.000 werknemers heeft.
Met andere woorden, het initiëren van meer dan 1.000 inlogverzoeken met behulp van de portemonnee van de aanvaller tegelijkertijd zal het zwembad dwingen om de portemonnee van de aanvaller te verbieden. Het is echter vermeldenswaard dat dit geen permanente oplossing is, omdat het account een herstel kan organiseren zodra de meerdere inlogverbindingen worden gestopt.
Akamai merkte op dat hoewel de bovengenoemde methoden zijn gebruikt om zich te richten op Monero Cryptocurrency Miners, ze ook kunnen worden uitgebreid tot andere cryptocurrencies.
“De hierboven gepresenteerde technieken laten zien hoe verdedigers effectief kwaadaardige cryptominer -campagnes kunnen afsluiten zonder de legitieme pooloperatie te verstoren door gebruik te maken van poolbeleid,” zei Dahan.
“Een legitieme mijnwerker zal snel kunnen herstellen van dit soort aanvallen, omdat ze hun IP of portemonnee gemakkelijk lokaal kunnen aanpassen. Deze taak zou veel moeilijker zijn voor een kwaadaardige cryptominer, omdat het zou moeten worden gewijzigd het hele botnet. Voor minder verfijnde mijnwerkers, kan deze verdediging echter het botnet volledig uitschakelen.”
