- 1 Metodi innovativi per interrompere i botnet di mining di criptovalute
- 2 Strategie per ridurre l’efficacia dei botnet di cryptominer
- 3 Metodi per sfruttare il protocollo di mining Stratum
- 4 Il metodo delle “bad shares”
- 5 Il metodo del ban del portafoglio
- 6 Estensione delle tecniche ad altre criptovalute
Metodi innovativi per interrompere i botnet di mining di criptovalute
I ricercatori di cybersecurity hanno svelato due metodi innovativi per interrompere i botnet di mining di criptovalute. Queste tecniche sfruttano il design di varie topologie di mining comuni per fermare il processo di mining, come riportato da Akamai in un nuovo rapporto pubblicato oggi.
Strategie per ridurre l’efficacia dei botnet di cryptominer
“Abbiamo sviluppato due tecniche sfruttando le topologie di mining e le politiche dei pool che ci permettono di ridurre l’efficacia di un botnet di cryptominer fino a spegnerlo completamente, costringendo l’attaccante a fare cambiamenti radicali alla propria infrastruttura o addirittura ad abbandonare l’intera campagna,” ha dichiarato il ricercatore di sicurezza Maor Dahan.
Metodi per sfruttare il protocollo di mining Stratum
Le tecniche, secondo l’azienda di infrastrutture web, si basano sullo sfruttamento del protocollo di mining Stratum in modo tale da far bannare il proxy di mining o il portafoglio dell’attaccante, interrompendo efficacemente l’operazione.
Il primo dei due approcci, denominato bad shares, prevede il ban del proxy di mining dalla rete, il che porta allo spegnimento dell’intera operazione e fa crollare l’uso della CPU della vittima dal 100% allo 0%. Mentre un proxy di mining funge da intermediario e protegge il pool di mining dell’attaccante e, per estensione, i loro indirizzi di portafoglio, diventa anche un punto di fallimento unico interferendo con la sua funzione regolare.
“L’idea è semplice: collegandoci a un proxy malevolo come miner, possiamo inviare risultati di lavoro di mining non validi — bad shares — che bypasseranno la validazione del proxy e verranno inviati al pool,” ha spiegato Dahan. “Consecutive bad shares faranno eventualmente bannare il proxy, fermando efficacemente le operazioni di mining per l’intero botnet di cryptomining.”
Questo comporta l’uso di uno strumento sviluppato internamente chiamato XMRogue per impersonare un miner, connettersi a un proxy di mining, inviare bad shares consecutive e infine bannare il proxy di mining dal pool.
Il metodo del ban del portafoglio
Il secondo metodo ideato da Akamai sfrutta scenari in cui un miner vittima è connesso direttamente a un pool pubblico senza un proxy, sfruttando il fatto che il pool può bannare l’indirizzo di un portafoglio per un’ora se ha più di 1.000 lavoratori.
In altre parole, avviare più di 1.000 richieste di login utilizzando il portafoglio dell’attaccante contemporaneamente costringerà il pool a bannare il portafoglio dell’attaccante. Tuttavia, è importante notare che questa non è una soluzione permanente poiché l’account può riprendersi non appena le connessioni di login multiple vengono interrotte.
Estensione delle tecniche ad altre criptovalute
Akamai ha osservato che, sebbene i metodi sopra menzionati siano stati utilizzati per colpire i miner di criptovaluta Monero, possono essere estesi anche ad altre criptovalute.
“Le tecniche presentate sopra mostrano come i difensori possano efficacemente spegnere campagne di cryptominer malevoli senza interrompere l’operazione legittima del pool sfruttando le politiche del pool,” ha detto Dahan. “Un miner legittimo sarà in grado di riprendersi rapidamente da questo tipo di attacco, poiché può facilmente modificare il proprio IP o portafoglio localmente. Questo compito sarebbe molto più difficile per un cryptominer malevolo poiché richiederebbe la modifica dell’intero botnet.”
Fonte: The Hackers News
