Los investigadores de ciberseguridad han detallado dos métodos novedosos que pueden estilarse para interrumpir botnets mineros de criptomonedas.
Los métodos aprovechan el diseño de varias topologías mineras comunes para cerrar el proceso minero, dijo Akamai en un nuevo crónica publicado hoy.
“Desarrollamos dos técnicas aprovechando las topologías mineras y las políticas de la piscina que nos permiten estrechar la efectividad de una botnet de Cryptominer hasta el punto de apagarlo por completo, lo que obliga al atacante a hacer cambios radicales en su infraestructura o incluso ceder toda la campaña”, dijo el investigador de seguridad Maor Dahan.
Las técnicas, dijo la compañía de infraestructura web, depende de explotar el protocolo de minería del clase de modo que cause que el proxy minero o la billetera de un atacante se prohíba, interrumpiendo efectivamente la operación.
El primero de los dos enfoques, denominados Bad Shares, implica prohibir el proxy minero de la red, lo que, a su vez, da como resultado el candado de toda la operación y hace que el uso de la CPU de la víctima se desplome del 100% al 0%.
Mientras que un proxy minero actúa como intermediario y protege el peña minero de un atacante y, por extensión, sus direcciones de billetera, asimismo se convierte en un solo punto de rotura al interferir con su función regular.
“La idea es simple: al conectarse a un proxy astuto como minero, podemos destinar resultados de trabajo minero inválidos, acciones incobrables, que omitirán la energía de poder y se enviarán a la piscina”, explicó Dahan. “Las acciones consecutivas de Bad eventualmente se prohibirán el poder, deteniendo efectivamente las operaciones mineras para toda la botnet de criptominación”.
Esto, a su vez, implica el uso de una útil desarrollada interna citación XMrogue para hacerse ocurrir por un minero, conectarse a un proxy minero, destinar acciones malas consecutivas y finalmente prohibir el proxy minero del peña.
El segundo método ideado por Akamai explota escenarios en los que un minero de la víctima está conectado directamente a un peña conocido sin un poder, aprovechando el hecho de que el peña puede prohibir la dirección de una billetera durante una hora si tiene más de 1,000 trabajadores.
En otras palabras, iniciar más de 1,000 solicitudes de inicio de sesión utilizando la billetera del atacante simultáneamente obligará al peña a prohibir la billetera del atacante. Sin secuestro, vale la pena señalar que esta no es una alternativa permanente ya que la cuenta puede organizar una recuperación tan pronto como se detengan las múltiples conexiones de inicio de sesión.
Akamai señaló que si perfectamente los métodos antiguamente mencionados se han utilizado para atacar a los mineros de criptomonedas de Monero, asimismo pueden echarse a otras criptomonedas.
“Las técnicas presentadas anteriormente muestran cómo los defensores pueden cerrar efectivamente las campañas de Cryptominer maliciosos sin interrumpir la operación legítima del peña aprovechando las políticas de la piscina”, dijo Dahan.
“Un minero oficial podrá recuperarse rápidamente de este tipo de ataque, ya que pueden modificar fácilmente su IP o billetera localmente. Esta tarea sería mucho más difícil para un criptominero astuto, ya que requeriría modificar toda la botnet. Para mineros menos sofisticados, sin secuestro, esta defensa podría desactivar completamente la botnet”.
