Los investigadores de ciberseguridad han detallado dos nuevos métodos que pueden usarse para destruir botnets mineros de criptomonedas.
El método utiliza el diseño de varias topologías mineras comunes para cerrar el proceso de minería, dijo Akamai en un nuevo informe publicado hoy.
«Hemos desarrollado dos métodos aprovechando la topología minera y las políticas de agrupación, lo que reduce la efectividad de la botnet Cryptominer hasta el punto en que se apaga por completo.
La tecnología se basa en uso indebido de protocolos de minería de capa para evitar el poder o las billeteras mineras de los atacantes e interrumpir efectivamente las operaciones, según compañías de infraestructura web.
El primero de los dos enfoques llamados Bad Stocks implica prohibir el proxy minero de la red. Esto cerrará toda la operación y hará que el uso de la CPU de la víctima se desplome del 100% al 0%.
El proxy minero actúa como un intermediario, protege a los grupos de minería de atacantes e incluso protege las direcciones de la billetera, pero al interferir con la funcionalidad normal, se convierte en un solo punto de falla.
«La idea es simple. Al conectarse a un proxy malicioso como menor, puede evitar la verificación de poder y enviar resultados de trabajo minero inválido (acciones incobrables) que se envían a la piscina», explicó Dahan. «Las acciones malas de la misma sustancia prohibirán en última instancia el proxy y de manera efectiva dejarán de las operaciones mineras a través de la criptomonedas de botnet».
Esto implica el uso de una herramienta de desarrollo interna llamada Xmrogue para hacerse pasar por un minero, conectarse a un proxy minero, enviar acciones malas consecutivas y, en última instancia, prohibir el proxy minero del grupo.
El segundo método concebido por Akamai aprovecha el hecho de que los mineros de las víctimas pueden explorar escenarios en los que están conectados directamente a las piscinas públicas y usar un proxy para prohibir las direcciones de la billetera durante una hora si la piscina tiene más de 1,000 trabajadores.
En otras palabras, usar la billetera del atacante simultáneamente para iniciar más de 1,000 solicitudes de inicio de sesión hará que la piscina prohíba la billetera del atacante. Sin embargo, tenga en cuenta que esta no es una solución permanente, ya que las cuentas pueden la recuperación de la etapa tan pronto como se detengan múltiples conexiones de inicio de sesión.
Akamai ha utilizado el método anterior para apuntar a los mineros de criptomonedas de Monero, pero señaló que podría extenderse a otras criptomonedas.
«Las técnicas anteriores demuestran cómo los defensores pueden cerrar efectivamente las campañas de Cryptominer maliciosas sin usar políticas de la piscina para interrumpir las operaciones legítimas de la piscina», dijo Dahan.
«Un minero legítimo puede cambiar fácilmente su IP o billetera localmente, lo que les permite recuperarse rápidamente de este tipo de ataque. Esta tarea es mucho más difícil para los criptominos maliciosos, ya que requieren cambiar toda la botnet.
Source link
