Video: Make your own monero botnet or setup your own hidden miner installer. (September 2024)
Vid Black Hat 2014-konferensen i Las Vegas demonstrerade Rob Ragan och Oscar Salazar, penetrationstestare från Bishop Fox, en teknik för molnbaserad bitcoin-gruvdrift som kostade dem exakt… ingenting. Just nu är en bitcoin värd 576, 57 $. Med en rejäl växelkurs som den här kan bitcoin-gruvdrift utan behov av att ägna massiva datorresurser vara ganska lukrativt.
Det är inte precis en legitim aktivitet, men då är jobbet med en penetrationstestare att hacka system för att korrigera dem. Ragan noterade att experimentet "kränkte helvetet ur vissa servicevillkor." För att få tillgång till den nödvändiga processorkraften var de tvungna att generera ett stort antal unika e-postadresser och registrera sig för massor av kostnadsfria provkonton. Efter att ha gjort det lyckades de bygga ett fullt funktionellt bitcoin-mining botnet. Enligt Ragan "Det här botnetet flaggas inte som skadlig programvara, blockeras av webbfilter eller tas över. Det här är mardrömmen!"
Gräva detaljerna
"Vi är penetrationstestare, " sade Ragan. "Vi har arbetat med detta projekt under det senaste året. Vi visade att vi definitivt kan bygga ett botnet från fritt tillgängliga molntjänster. Vi ställde frågan, är otillräcklig anti-automatisering en förbises risk? Bör det betraktas som en topp tio sårbarhet?"
"Dessa molnbaserade tjänster gör många olika saker", sa Salazar, "men syftet är att låta utvecklare komma igång direkt." "Det skär ut alla benarbeten och låter dig bygga en applikation så snabbt som möjligt", tilllade Ragan. "Plattform som en tjänst är en vara som är mycket efterfrågad. Men om det underlättar utvecklarens liv, skulle det inte också göra saker enklare för en skadlig angripare? Det är precis vad vi utforskade."
Obegränsade e-postadresser
Vi har alla haft erfarenhet av att registrera oss för en webbplats eller tjänst och fick höra att registreringen skulle slutföras när vi klickade på en e-postlänk. Våra dödiga forskare behövde ett sätt att automatisera denna process helt.
Sessionen förklarade i detalj exakt hur de lyckades skapa obegränsade e-postkonton med realistiska användarnamn och en mängd olika domäner. Nästa steg var att ställa in automatiskt svar för dessa konton, så att de skulle kunna svara på alla "Klicka på den här länken för att bekräfta" e-post. Det fungerade! Vid denna tidpunkt hade de ett system för att skapa obegränsade unika e-postmeddelanden utan mänsklig interaktion. Och de lagrade alla detaljer med en gratis testversion av molnbaserad MongoDB. Ja, deltagarna kommer att kunna få all koden som användes i det här experimentet.
Roliga aktiviteter!
"Vid denna tidpunkt kan vi göra saker som DDoS, kryptovalutautvinning, datalagring och mer, " sade Ragan. "Som penetrationstestare var målet att ha ett distribuerat botnet under vår kontroll." Att ha ett tamt botnet för att starta DDoS-tester med vit hatt mot villiga kunder var definitivt värdefullt.
De experimenterade med vad som är möjligt när du har e-postadresser för ett obegränsat antal "vänner". Många onlinelagringssystem ger dig ytterligare gigabyte för att framgångsrikt hänvisa vänner. Vissa täcker det totala beloppet du kan få på detta sätt, andra gör det inte. "Vi fick en terabyte gratis för en tjänst, " sade Ragan, "vilket är mer än du ens kan betala för."
Vid sin topp genererade det experimentella LiteCoin-gruvbotnetet cirka 25 cent per dag per konto. Med 1 000 aktiva konton är det $ 250 per dag. "Vi ville inte vara skadliga, bara för att visa hur det görs, " sade Ragan, "så vi slutade. Men vi har hört talas om att folk tjänar mycket pengar på kort tid. Vi lämnade ett par konton igång i flera veckor, bara för att se om de skulle upptäckas. De var inte"
Anti-Automation
Under experimentet reviderade ett antal tjänster sina verifieringssystem för att besegra automatisk skapande av konton. En uttalade till och med anledningen var en spridning av botnät.
Naturligtvis var poängen med denna övning inte att generera dåliga vinster. Nu när det är klart vad som kan göras med testkonton är det troligt att leverantörerna lägger till fler försvar för att förhindra missbruk av sina system. "Det finns många sätt att identifiera människor utan att irritera användare, " sade Ragan. Han nämnde exempel inklusive logikpussel, validering med kreditkort och till och med liveoperatörer. Det verkar tydligt att alla molntjänster utan betydande anti-automatisering troligtvis kommer att ha fler botnät än verkliga användare.
