Vidéo: testing my bitcoin mining botnet (Novembre 2024)
Lors de la conférence Black Hat 2014 à Las Vegas, Rob Ragan et Oscar Salazar, testeurs de pénétration de Bishop Fox, ont présenté une technique d'extraction de bitcoin en nuage qui ne leur a coûté rien… rien. En ce moment, un bitcoin vaut 576, 57 $. Avec un taux de change aussi élevé, l'extraction de bitcoins sans la nécessité de consacrer des ressources informatiques considérables pourrait s'avérer très lucrative.
Ce n'est pas précisément une activité légitime, mais le travail d'un testeur de pénétration consiste à pirater des systèmes afin de les corriger. Ragan a noté que l'expérience "violait l'enfer de certaines conditions d'utilisation". Pour accéder à la puissance de traitement nécessaire, ils devaient générer un grand nombre d'adresses électroniques uniques et s'inscrire pour des tonnes de comptes d'essai gratuits. Ce faisant, ils ont réussi à créer un botnet minier totalement fonctionnel. Selon Ragan, "ce botnet n'est pas signalé comme un malware, bloqué par des filtres Web, ni pris en charge. C'est la substance de cauchemars!"
Creuser les détails
"Nous sommes des testeurs de pénétration", a déclaré Ragan. "Nous travaillons sur ce projet depuis un an. Nous avons montré que nous pouvions créer un botnet à partir de services cloud librement disponibles. Nous avons posé la question suivante: l'absence d'anti-automatisation est-elle un risque négligé? Devrait-il être considéré comme l'un des dix meilleurs vulnérabilité?"
"Ces services basés sur le cloud font beaucoup de choses différentes", a déclaré Salazar, "mais le but est de permettre aux développeurs d'obtenir quelque chose de fonctionnel immédiatement." "Il supprime toutes les démarches nécessaires et vous permet de créer une application aussi rapidement que possible", a ajouté Ragan. "La plate-forme en tant que service est une marchandise très demandée. Mais si elle facilite la vie d'un développeur, ne faciliterait-elle pas également les choses pour un attaquant malveillant? C'est exactement ce que nous avons exploré."
Adresses email illimitées
Nous avons tous eu l'expérience de nous inscrire à un site Web ou à un service et on nous a dit que l'inscription serait finalisée lorsque nous avons cliqué sur un lien de courrier électronique. Nos chercheurs expérimentés avaient besoin d’un moyen d’automatiser complètement ce processus.
La session a expliqué en détail comment ils ont réussi à créer des comptes de messagerie illimités avec des noms d'utilisateur réalistes et une grande variété de domaines. L'étape suivante consistait à configurer la réponse automatique pour ces comptes, afin qu'ils puissent répondre à tout courrier électronique "Cliquez sur ce lien pour confirmer". Ça a marché! À ce stade, ils disposaient d'un système permettant de créer un nombre illimité d'e-mails uniques sans interaction humaine. Et ils ont stocké tous les détails en utilisant un essai gratuit de MongoDB basé sur le cloud. Oui, les participants pourront obtenir tout le code utilisé dans cette expérience.
Des activités amusantes!
"À ce stade, nous pouvons faire des choses comme les DDoS, l'extraction de crypto-devises, le stockage de données, etc.", a déclaré Ragan. "En tant que testeurs d'intrusion, l'objectif était de disposer d'un réseau de zombies distribué." Avoir un botnet apprivoisé pour lancer des tests DDoS en chapeau blanc contre des clients consentants était vraiment utile.
Ils ont expérimenté exactement ce qui était possible lorsque vous disposiez d'adresses électroniques pour un nombre illimité d '"amis". De nombreux systèmes de stockage en ligne vous offrent des gigaoctets supplémentaires pour vous permettre de parrainer des amis. Certains plafonnent le montant total que vous pouvez gagner de cette façon, d'autres non. "Nous avons un téraoctet gratuit sur un service", a déclaré Ragan, "ce qui est plus que ce que vous pouvez même payer".
À son apogée, le botnet expérimental LiteCoin-mining générait environ 25 cents par jour et par compte. Avec 1 000 comptes actifs, cela représente 250 $ par jour. "Nous ne voulions pas être méchants, juste pour montrer comment cela se passait", a déclaré Ragan, "alors nous nous sommes arrêtés. Mais nous avons entendu dire que des gens gagnaient beaucoup d'argent en peu de temps. Nous avons laissé quelques comptes en cours d'exécution pendant plusieurs semaines, juste pour voir s'ils seraient détectés. Ils ne l'étaient pas"
Anti-automatisation
Au cours de l'expérience, un certain nombre de services ont révisé leurs systèmes de vérification afin d'empêcher la création automatique de comptes. L'un d'entre eux a même déclaré que la raison était une prolifération de réseaux de zombies.
Bien entendu, le but de cet exercice n'était pas de générer des gains mal acquis. Maintenant que l’on sait ce qui peut être fait avec des comptes d’essai, il est probable que les fournisseurs ajouteront davantage de moyens de défense pour prévenir les abus de leurs systèmes. "Il existe de nombreux moyens d'identifier les humains sans gêner les utilisateurs", a déclaré Ragan. Il a cité des exemples, notamment des énigmes logiques, la validation par carte de crédit et même des opérateurs en direct. Il semble évident que tout service dans le cloud sans grande automatisation risque de se voir héberger plus de réseaux de zombies que de véritables utilisateurs.
