יצירת בוטנט לכריית ביטקוין ללא עלות

בכנס השחור כובע 2014 בלאס וגאס, הראו רוב ראגן ואוסקר סלזר, בודקי חדירה מבישוף פוקס, הדגימו טכניקה לכריית ביטקוין מבוססת ענן שעלתה להם בדיוק… כלום. ברגע זה, ביטקוין אחד שווה 576.57 $. עם שער חליפין כבד כזה, כריית ביטקוין ללא צורך להקדיש משאבי מחשוב מסיביים עשויה להיות רווחית למדי.

זו לא בדיוק פעילות לגיטימית, אבל אז, תפקידו של בודק חדירה הוא לפרוץ מערכות כדי לתקן אותן. רגן ציין כי הניסוי אכן "הפר את הגיהינום מתוך תנאי שירות מסוימים." כדי לקבל גישה לכוח העיבוד הדרוש, הם היו צריכים לייצר מספר עצום של כתובות דוא"ל ייחודיות ולהירשם לטונות של חשבונות ניסיון בחינם. לאחר מכן, הם הצליחו לבנות בוטנט כריית ביטקוין-פונקציונאלי לחלוטין. לדברי רגן, "הבוטנט הזה לא מסומן כסוכנות זדוניות, נחסם על ידי מסנני רשת או משתלט עליו. זה דברים של סיוטים!"

חופר את הפרטים

"אנחנו בודקי חדירה, " אמר רגן. "עבדנו על הפרויקט הזה בשנה האחרונה. הראנו שאנחנו בהחלט יכולים לבנות בוטנט משירותי ענן זמינים בחופשיות. שאלנו את השאלה, האם די באנטי-אוטומציה מסכן סיכון בלתי נשכח? האם יש לראות בו את העשירייה הראשונה. פגיעות?"

"שירותים מבוססי ענן אלה עושים הרבה דברים שונים", אמר סלזר, "אך המטרה היא לאפשר למפתחים להפעיל משהו באופן מיידי." ראגן הוסיף: "זה גוזר את כל עבודות הרגל ומאפשר לך לבנות אפליקציה במהירות האפשרית". "פלטפורמה כשירות היא מצרך שביקוש רב. אבל אם זה יקל על חייו של מפתח, האם זה לא היה מקל גם על תוקף זדוני? זה בדיוק מה שבדקנו."

כתובות דוא"ל ללא הגבלה

לכולנו היה ניסיון להירשם לאתר או לשירות ולהגיד לנו שההרשמה תושלם כשנלחץ על קישור לדוא"ל. החוקרים הסוערים שלנו היו זקוקים לדרך לאוטומציה מוחלטת של התהליך הזה.

הפגישה הסבירה בפירוט כיצד הצליחו ליצור חשבונות דוא"ל בלתי מוגבלים עם שמות משתמש מציאותיים ומגוון רחב של תחומים שונים. השלב הבא היה הגדרת תגובה אוטומטית עבור אותם חשבונות, כך שיוכלו להגיב לכל דוא"ל "לחץ על קישור זה כדי לאשר". זה עבד! בשלב זה הייתה להם מערכת ליצירת דוא"ל ייחודי ללא הגבלה ללא אינטראקציה אנושית. והם שמרו את כל הפרטים באמצעות ניסיון ללא תשלום של MongoDB מבוסס ענן. כן, המשתתפים יוכלו לקבל את כל הקוד ששימש בניסוי זה.

פעילויות מהנות!

"בשלב זה אנו יכולים לעשות דברים כמו DDoS, כריית מטבעות crypto, אחסון נתונים ועוד", אמר ראגן. "כבוחני חדירה, המטרה הייתה לבוטנט מופץ בשליטתנו." בהחלט יש ערך לבוטנט מאולף להשקת בדיקות DDoS עם כובע לבן.

הם ניסו רק מה אפשרי כשיש לך כתובות דוא"ל למספר בלתי מוגבל של "חברים". מערכות אחסון מקוונות רבות מעניקות לך גיגה-בייט נוסף להפניית חברים בהצלחה. יש כובעים את הסכום הכולל שאתה יכול להשיג בדרך זו, ואחרים לא. "קיבלנו טרה-בייט בחינם בשירות אחד, " אמר רגן, "וזה יותר ממה שאתה יכול אפילו לשלם עבורו."

בשיאו, בוטנט הכרייה הניסוי LiteCoin הניב כ -25 סנט ליום בחשבון. עם 1, 000 חשבונות פעילים, זה 250 $ ליום. "לא רצינו להיות זדוניים, רק כדי להראות איך זה נעשה", אמר רגן, "אז עצרנו. אבל שמענו על אנשים שמרוויחים הרבה כסף תוך זמן קצר. השארנו חשבונות זוגיים שרצים במשך כמה שבועות, רק כדי לראות אם יתגלו. הם לא היו"

אנטי אוטומציה

במהלך הניסוי, מספר שירותים תיקנו את מערכות האימות שלהם כדי להביס יצירה אוטומטית של חשבונות. אחת מהן אף הצהירה שהסיבה הייתה ריבוי בוטנים.

כמובן, המטרה של התרגיל הזה לא הייתה לייצר רווחים שלא הושגו. כעת, כאשר ברור מה ניתן לעשות באמצעות חשבונות ניסיון, סביר להניח שהספקים יוסיפו הגנות נוספות כדי למנוע שימוש לרעה במערכות שלהם. "יש המון דרכים לזהות בני אדם בלי להרגיז משתמשים", אמר רגן. הוא ציין דוגמאות הכוללות חידות לוגיות, אימות באמצעות כרטיס אשראי ואפילו מפעילים חיים. נראה כי ברור שכל שירות ענן ללא אנטי אוטומציה משמעותי עשוי למצוא עצמו מכיל יותר בוטנות מאשר משתמשים אמיתיים.