Siber güvenlik araştırmacıları, kripto para birimi madencilik botnetlerini bozmak için kullanılabilecek iki yeni yöntemi detaylandırmıştır.
Akamai, yöntemlerin madencilik sürecini kapatmak için çeşitli ortak madencilik topolojilerinin tasarımından yararlandığını söyledi.
Güvenlik araştırmacısı Ma Dahan, “Bir Cryptominer Botnet’in etkinliğini tamamen kapatma noktasına kadar azaltmamızı sağlayan madencilik topolojileri ve havuz politikalarından yararlanarak iki teknik geliştirdik, bu da saldırganı altyapılarında radikal değişiklikler yapmaya zorladı.”
Web altyapı şirketi, tekniklerin, bir saldırganın madencilik vekili veya cüzdanının yasaklanmasına ve operasyonu etkili bir şekilde bozmasına neden olacak şekilde stratum madenciliği protokolünü sömürmeye yönelik menteşe olduğunu söyledi.
İki yaklaşımın ilki, kötü hisse senetleri olarak adlandırılan madencilik vekaletini ağdan yasaklamayı gerektirir, bu da tüm operasyonun kapatılmasına neden olur ve kurbanın CPU kullanımının% 100’den% 0’a düşmesine neden olur.
Bir madencilik vekili bir aracı görevi görür ve bir saldırganın madencilik havuzunu korurken ve uzatma yoluyla cüzdan adresleri de düzenli işlevine müdahale ederek tek bir başarısızlık noktası haline gelir.
Dahan, “Fikir basit: bir madenci olarak kötü niyetli bir proxy’ye bağlanarak, proxy doğrulamasını atlayacak ve havuza gönderilecek geçersiz madencilik iş sonuçları – kötü hisse senetleri – gönderebiliriz.” Diyerek şöyle devam etti: “Ardışık kötü hisse senetleri sonunda vekaletin yasaklanmasını sağlayacak ve tüm kriptominasyon botnet için madencilik operasyonlarını etkili bir şekilde durduracak.”
Bu da, bir madenci taklit etmek, bir madencilik vekiline bağlanmak, art arda kötü hisse göndermek ve sonuçta madencilik vekilini havuzdan yasaklamak için Xmrogue adlı şirket içi geliştirilmiş bir araç kullanmayı gerektirir.
Akamai tarafından tasarlanan ikinci yöntem, bir kurban madencisinin doğrudan bir kamu havuzuna bağlandığı senaryolardan yararlanır ve havuzun 1000’den fazla işçisi varsa bir saat boyunca bir cüzdanın adresini yasaklayabileceği gerçeğinden yararlanır.
Başka bir deyişle, saldırganın cüzdanını eşzamanlı olarak kullanarak 1000’den fazla giriş isteği başlatmak, havuzu saldırganın cüzdanını yasaklamaya zorlayacaktır. Ancak, çoklu giriş bağlantıları durdurulur durdurmaz hesap bir kurtarma yapabileceğinden, bunun kalıcı bir çözüm olmadığını belirtmek gerekir.
Akamai, yukarıda belirtilen yöntemlerin Monero kripto para birimi madencilerini hedeflemek için kullanılmış olsa da, diğer kripto para birimlerine de genişletilebileceğini belirtti.
Dahan, “Yukarıda sunulan teknikler, savunucuların havuz politikalarından yararlanarak meşru havuz operasyonunu bozmadan kötü niyetli Cryptominer kampanyalarını nasıl etkili bir şekilde kapatabileceğini gösteriyor.” Dedi.
“Meşru bir madenci, IP veya cüzdanlarını yerel olarak kolayca değiştirebilecekleri için bu tür bir saldırıdan hızlı bir şekilde kurtulabilir. Bu görev, tüm botnet’i değiştirmeyi gerektireceği için kötü niyetli bir kriptominer için çok daha zor olacaktır. Bununla birlikte, daha az karmaşık madenciler için bu savunma botnet’i tamamen devre dışı bırakabilir.”