Membuat botnet penambangan bitcoin tanpa biaya

Pada konferensi Black Hat 2014 di Las Vegas, Rob Ragan dan Oscar Salazar, penguji penetrasi dari Bishop Fox, mendemonstrasikan teknik untuk penambangan bitcoin berbasis cloud yang benar-benar menghabiskan biaya… tidak ada biaya. Pada saat ini, satu bitcoin bernilai $ 576, 57. Dengan nilai tukar yang besar dan kuat seperti itu, penambangan bitcoin tanpa perlu mencurahkan sumber daya komputasi besar bisa sangat menguntungkan.

Ini bukan kegiatan yang sah, tapi kemudian, tugas penguji penetrasi adalah untuk meretas sistem untuk menambalnya. Ragan mencatat bahwa percobaan itu "melanggar neraka dari beberapa persyaratan layanan." Untuk mendapatkan akses ke kekuatan pemrosesan yang diperlukan, mereka harus menghasilkan sejumlah besar alamat email unik dan mendaftar untuk banyak akun percobaan gratis. Setelah melakukannya, mereka berhasil membangun botnet penambangan bitcoin yang berfungsi penuh. Menurut Ragan, "Botnet ini tidak ditandai sebagai malware, diblokir oleh filter web, atau diambil alih. Ini adalah mimpi buruk!"

Menggali Detail

"Kami adalah penguji penetrasi, " kata Ragan. "Kami telah mengerjakan proyek ini selama setahun terakhir. Kami menunjukkan bahwa kami pasti dapat membangun botnet dari layanan cloud yang tersedia secara bebas. Kami mengajukan pertanyaan, apakah anti-automasi yang tidak memadai merupakan risiko yang diabaikan? Haruskah itu dianggap sepuluh besar? kerentanan?"

"Layanan berbasis cloud ini melakukan banyak hal berbeda, " kata Salazar, "tetapi tujuannya adalah untuk membiarkan para pengembang mendapatkan sesuatu dan segera menjalankannya." "Itu memotong semua kerja keras dan memungkinkan Anda membangun aplikasi secepat mungkin, " tambah Ragan. "Platform sebagai layanan adalah komoditas yang sangat diminati. Tetapi jika itu membuat hidup seorang pengembang lebih mudah, bukankah itu juga membuat segalanya lebih mudah bagi penyerang jahat? Itulah yang kami jelajahi."

Alamat Email Tidak Terbatas

Kita semua memiliki pengalaman mendaftar untuk situs web atau layanan dan diberitahu pendaftaran akan selesai ketika kita mengklik tautan email. Peneliti kami yang tangguh membutuhkan cara untuk mengotomatisasi proses ini sepenuhnya.

Sesi ini menjelaskan secara terperinci bagaimana mereka berhasil membuat akun email tanpa batas dengan nama pengguna yang realistis dan berbagai domain yang berbeda. Langkah selanjutnya adalah mengatur respons otomatis untuk akun tersebut, sehingga mereka dapat menanggapi email "Klik tautan ini untuk mengonfirmasi" apa pun. Berhasil! Pada titik ini, mereka memiliki sistem untuk membuat email unik tanpa batas tanpa interaksi manusia. Dan mereka menyimpan semua detail menggunakan uji coba gratis MongoDB berbasis cloud. Ya, peserta akan dapat memperoleh semua kode yang digunakan dalam percobaan ini.

Aktivitas yang menyenangkan!

"Pada titik ini kita dapat melakukan hal-hal seperti DDoS, penambangan mata uang kripto, penyimpanan data, dan banyak lagi, " kata Ragan. "Sebagai penguji penetrasi, memiliki botnet yang didistribusikan di bawah kendali kami adalah tujuannya." Memiliki botnet jinak untuk meluncurkan tes DDoS white-hat terhadap klien yang bersedia jelas berharga.

Mereka bereksperimen dengan apa yang mungkin terjadi ketika Anda memiliki alamat email untuk jumlah "teman" yang tidak terbatas. Banyak sistem penyimpanan online memberi Anda gigabyte tambahan untuk berhasil mereferensikan teman. Beberapa membatasi jumlah total yang bisa Anda peroleh dengan cara ini, yang lain tidak. "Kami mendapat satu terabyte gratis di satu layanan, " kata Ragan, "yang lebih dari yang bisa Anda bayar."

Pada puncaknya, botnet LiteCoin-mining eksperimental menghasilkan sekitar 25 sen per hari per akun. Dengan 1.000 akun aktif, itu $ 250 per hari. "Kami tidak ingin menjadi jahat, hanya untuk menunjukkan bagaimana hal itu dilakukan, " kata Ragan, "jadi kami berhenti. Tetapi kami telah mendengar ada orang yang menghasilkan banyak uang dalam waktu singkat. Kami meninggalkan beberapa akun berjalan selama beberapa minggu, hanya untuk melihat apakah mereka terdeteksi. Mereka tidak"

Anti-Otomatisasi

Selama percobaan, sejumlah layanan merevisi sistem verifikasi mereka untuk mengalahkan pembuatan akun secara otomatis. Satu bahkan menyatakan alasannya adalah proliferasi botnet.

Tentu saja, tujuan dari latihan ini bukan untuk menghasilkan keuntungan yang didapat dengan buruk. Sekarang sudah jelas apa yang bisa dilakukan dengan menggunakan akun percobaan, kemungkinan penyedia akan menambah lebih banyak pertahanan untuk mencegah penyalahgunaan sistem mereka. "Ada banyak cara untuk mengidentifikasi manusia tanpa pengguna yang mengganggu, " kata Ragan. Dia menyebutkan contoh termasuk teka-teki logika, validasi dengan kartu kredit, dan bahkan operator langsung. Tampak jelas bahwa setiap layanan cloud tanpa anti-otomatisasi yang signifikan cenderung menemukan dirinya menyimpan lebih banyak botnet daripada pengguna nyata.