Pesquisadores de cibersegurança detalharam dois métodos novos que podem ser usados para interromper botnets de mineração de criptomoedas.
Os métodos aproveitam o design de várias topologias de mineração comuns para desligar o processo de mineração, disse a Akamai em um novo relatório publicado hoje.
"Desenvolvemos duas técnicas aproveitando as topologias de mineração e políticas de pool que nos permitem reduzir a eficácia de um botnet de criptomineração ao ponto de desligá-lo completamente, o que força o atacante a fazer mudanças radicais em sua infraestrutura ou até abandonar toda a campanha", disse o pesquisador de segurança Maor Dahan.
As técnicas, explicou a empresa de infraestrutura da web, baseiam-se em explorar o protocolo de mineração Stratum de tal forma que causa o banimento do proxy de mineração ou da carteira do atacante, interrompendo efetivamente a operação.
A primeira das duas abordagens, chamada de bad shares, implica em banir o proxy de mineração da rede, o que, por sua vez, resulta no desligamento de toda a operação e faz o uso da CPU da vítima despencar de 100% para 0%.
Enquanto um proxy de mineração atua como intermediário e protege a pool de mineração do atacante e, por extensão, seus endereços de carteiras, também se torna um único ponto de falha ao interferir em sua função regular.
"A ideia é simples: Ao conectar-se a um proxy malicioso como um minerador, podemos submeter resultados de trabalhos de mineração inválidos — bad shares — que passarão pela validação do proxy e serão submetidos à pool", Dahan explicou.
"Bad shares consecutivos eventualmente farão com que o proxy seja banido, interrompendo efetivamente as operações de mineração para todo o botnet de criptomineração."
Isso, por sua vez, envolve o uso de uma ferramenta desenvolvida internamente chamada XMRogue para se passar por um minerador, conectar-se a um proxy de mineração, submeter bad shares consecutivos e, finalmente, fazer com que o proxy de mineração seja banido da pool.
O segundo método desenvolvido pela Akamai explora cenários em que um minerador vítima está conectado diretamente a uma pool pública sem um proxy, aproveitando o fato de que a pool pode banir o endereço de uma carteira por uma hora se tiver mais de 1.000 trabalhadores.
Em outras palavras, iniciar mais de 1.000 solicitações de login usando a carteira do atacante simultaneamente forçará a pool a banir a carteira do atacante.
No entanto, vale notar que essa não é uma solução permanente, uma vez que a conta pode se recuperar assim que as múltiplas conexões de login forem interrompidas.
A Akamai observou que, embora os métodos mencionados tenham sido usados para mirar em mineradores da criptomoeda Monero, eles podem ser estendidos para outras criptomoedas também.
"As técnicas apresentadas acima mostram como os defensores podem efetivamente desligar campanhas maliciosas de criptomineração sem interromper a operação de pool legítima, tirando proveito das políticas de pool", disse Dahan.
Um minerador legítimo será capaz de se recuperar rapidamente desse tipo de ataque, pois pode modificar facilmente seu IP ou carteira localmente.
Essa tarefa seria muito mais difícil para um criptominerador malicioso, pois exigiria modificar todo o botnet.
Para mineradores menos sofisticados, no entanto, essa defesa poderia desabilitar completamente o botnet.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...