Video: El virus informático que mina criptomonedas (Noviembre 2024)
En la conferencia Black Hat 2014 en Las Vegas, Rob Ragan y Oscar Salazar, probadores de penetración de Bishop Fox, demostraron una técnica para la minería de bitcoins basada en la nube que les costó exactamente… nada. En este momento, un bitcoin vale $ 576.57. Con un tipo de cambio considerable como ese, la minería de bitcoin sin la necesidad de dedicar recursos informáticos masivos podría ser bastante lucrativa.
No es precisamente una actividad legítima, pero el trabajo de un probador de penetración es piratear sistemas para parchearlos. Ragan señaló que el experimento "violaba muchísimo algunos términos de servicio". Para obtener acceso a la potencia de procesamiento necesaria, tuvieron que generar una gran cantidad de direcciones de correo electrónico únicas y registrarse para obtener toneladas de cuentas de prueba gratuitas. Una vez hecho esto, lograron construir una botnet de minería de bitcoin completamente funcional. Según Ragan, "esta botnet no se marca como malware, no se bloquea mediante filtros web ni se hace cargo. ¡Esto es una pesadilla!"
Excavando los detalles
"Somos probadores de penetración", dijo Ragan. "Hemos estado trabajando en este proyecto durante el último año. Demostramos que definitivamente podemos construir una botnet a partir de servicios en la nube disponibles gratuitamente. Nos preguntamos si la anti-automatización insuficiente es un riesgo pasado por alto. ¿Debería considerarse como uno de los diez principales? ¿vulnerabilidad?"
"Estos servicios basados en la nube hacen muchas cosas diferentes", dijo Salazar, "pero el propósito es permitir que los desarrolladores pongan en marcha algo inmediatamente". "Corta todo el trabajo preliminar y te permite crear una aplicación lo más rápido posible", agregó Ragan. "La plataforma como servicio es una mercancía que tiene una gran demanda. Pero si está facilitando la vida de un desarrollador, ¿no facilitaría también las cosas para un atacante malicioso? Eso es exactamente lo que exploramos".
Direcciones de correo ilimitadas
Todos hemos tenido la experiencia de registrarnos en un sitio web o servicio y nos dijeron que el registro se finalizará cuando hagamos clic en un enlace de correo electrónico. Nuestros doughty investigadores necesitaban una forma de automatizar completamente este proceso.
La sesión explicó en detalle exactamente cómo lograron crear cuentas de correo electrónico ilimitadas con nombres de usuario realistas y una amplia variedad de dominios diferentes. El siguiente paso fue configurar una respuesta automática para esas cuentas, de modo que pudieran responder a cualquier correo electrónico de "Haga clic en este enlace para confirmar". ¡Funcionó! En este punto, tenían un sistema para crear correos electrónicos únicos ilimitados sin interacción humana. Y almacenaron todos los detalles utilizando una prueba gratuita de MongoDB basado en la nube. Sí, los asistentes podrán obtener todo el código que se utilizó en este experimento.
¡Actividades divertidas!
"En este punto podemos hacer cosas como DDoS, minería de criptomonedas, almacenamiento de datos y más", dijo Ragan. "Como probadores de penetración, el objetivo era tener una botnet distribuida bajo nuestro control". Tener una botnet domesticada para lanzar pruebas DDoS de sombrero blanco contra clientes dispuestos fue definitivamente valioso.
Experimentaron con lo que es posible cuando tienes direcciones de correo electrónico para un número ilimitado de "amigos". Muchos sistemas de almacenamiento en línea le dan gigabytes adicionales para referir amigos con éxito. Algunos limitan la cantidad total que puede ganar de esta manera, otros no. "Obtuvimos un terabyte gratis en un servicio", dijo Ragan, "que es más de lo que puedes pagar".
En su apogeo, la botnet experimental de minería LiteCoin estaba generando alrededor de 25 centavos por día por cuenta. Con 1, 000 cuentas activas, eso es $ 250 por día. "No queríamos ser maliciosos, solo para mostrar cómo se hacía", dijo Ragan, "así que nos detuvimos. Pero hemos oído hablar de personas que ganan mucho dinero en poco tiempo. Dejamos un par de cuentas funcionando". durante varias semanas, solo para ver si serían detectados. No fueron"
Anti-Automatización
Durante el curso del experimento, varios servicios revisaron sus sistemas de verificación para vencer la creación automática de cuentas. Incluso se dijo que la razón era una proliferación de botnets.
Por supuesto, el objetivo de este ejercicio no era generar ganancias ilícitas. Ahora que está claro qué se puede hacer usando cuentas de prueba, es probable que los proveedores agreguen más defensas para evitar el abuso de sus sistemas. "Hay muchas maneras de identificar a los humanos sin usuarios molestos", dijo Ragan. Mencionó ejemplos que incluyen acertijos lógicos, validación con tarjeta de crédito e incluso operadores en vivo. Parece claro que cualquier servicio en la nube sin una anti-automatización significativa es probable que albergue más botnets que usuarios reales.
