Wie Hacker Hid eine Geld-Mining-Botnet drinnen den Wolken von Amazon ua
25.07.2014 14:43Wie Hacker Hid eine Geld-Mining-Botnet drinnen den Wolken von Amazon ua
Hacker nehmen an verlängert verwendet Malware, Armeen von unwissenden PCs zu versklaven, aber Sicherheitsexperten Streifen Ragan und Oscar Salazar hatte eine verschiedene Design: Warum unterschlagen Rechen Fülle von naiven Opfer, während es gibt so viel Macht befreit Aushändigung der Nähe von Pro die Aufnahme verboten?
Von der Seite der Black-Hat-Seminar drinnen Las Vegas Monat später Ragan und Salazar Skizze zu verbreiten, wie sie gebaut ein Botnetz mit einsamen befreiten Studien und Freemium-Konten auf Online-Applikation-Hosting-Services, die Art-Programmierer profitieren von Pro Entwicklung und schwer entgegen mit guten kaufen ihre eigenen Server-und Gepäckraum. Duo der Hacker verwendet einen automatisierten Prozess, um einzigartige E-Mail-Adressen zu generieren und melden Sie sich pro Leute befreiten Konten en masse, Montage eine Cloud-basierte Botnetz von rund tausend Computern.
Mit dem Ziel der Online-Roboter-Horde war tüchtig der Einführung koordinierten Cyber-Attacken, das Knacken von Kennwörtern oder auch Bergbau Hunderte von Dollar im Wert von Tageslicht cryptocurrency. Und durch den Zusammenbau mit dem Ziel der Botnet von Cloud-Konten statt als entführt Computer, Ragan und Salazar glauben, dass ihre Herstellung können an sogar offizielle nehmen.
"Wir mehr oder weniger baute eine Zentraleinheit pro befreiten", sagt Ragan, der zusammen mit Salazar Leben in gleichem Maße ein Forscher Pro das Sicherheitsberatung Bischof Trick. "Wir sind zweifellos auf dem Spiel aus den Augen zu weiteren Schad Beruf fangen Einführung dieser Dienste verboten. "
Firmen wie Google, Heroku, Cloud Foundry, CloudBees und viele weitere Angebot Entwicklern die Möglichkeit, ihre Anwendungen auf Servern weit drinnen Datenzentren, die oft den Wiederverkauf Rechen Fülle von Unternehmen wie Amazon und Rackspace. Ragan und Salazar im Besitz der Version getestet Herstellungsprozess pro Host Zusatz als 150 Leute an. Solitary ein Drittel von ihnen obligatorisch alle Anmeldeinformationen vor eine E-Mail-Adresse-Zusatz um wie ein Tribut-Tag, Telefon Figur oder anderes reich verboten ein Captcha. Wahl unter den stressfreien zwei Drittel, sie belagerte mehr oder weniger 15 Dienstleistungen mit dem Ziel, ihnen erlauben, melden Sie sich ein befreites pro Version oder sonst ein befreites Studie. die Forscher werden nicht vorschlagen Leute anfällig Dienstleistungen, zu rationieren Hacker-Tag auf ihren Spuren drinnen nicht aus. "eine Zuordnung dieser Unternehmen sind Startups ermüdend zu den gleichen Grad viele Benutzer im gleichen Maße schnell auf den gleichen Grad lebensfähig wahrnehmen ", sagt Salazar." Sie sind nicht wirklich denken mehr oder weniger feindlich gegenüber dieser Art von Angriffen zu verteidigen. "
Die Kapern
Ragan und Salazar bildeten ihre automatische Schnellfeuer Anmeldung und Bestätigung Prozess mit der E-Mail-Service-Affen und ihre eigenen anweisen auf Google App Engine laufen einen Dienst namens FreeDNS.Troubled.Org erlauben ihnen unendlich E-Mail-Adressen auf verschiedenen Gebieten zu schaffen;. Um realistische-suchen Adressen, die sie verwendet, Variationen über echte Adressen mit dem Ziel, sie online zu finden in der Nachahmung der verstrichenen Datenmissbrauch geworfen. in diesem Fall werden sie Python-Stoff, ein Tool, mit dem Ziel verwendet, können Entwickler bekommen durch mehrere Python-Skripte, um die Hunderte von Kontrolle Computer über die sie in Besitz genommen hatte.
Einzel ihrer grundlegenden Experimente mit ihrem Prügel Cloud-basierte Botnetz wurde Bergbau die cryptocurrency Litecoin. (Das am zweithäufigsten verwendet cryptocoin ist besser, als CPUs Bitcoin, die fast jeder jeden Fall mit GPU-Chips abgebaut ist die Cloud Computer "geeignet.) Sie mit dem Ziel, sie fanden wohl mehr ernten oder weniger 25 Cent pro Stück Version pro Stück Tageslicht basierend auf Litecoin Vortrag Ladung von der Seite der Instanz. Putting ihre intakte Botnet hinter mit dem Ziel der Aufwand wäre an erzeugten 1.750 $ eine Woche dauern. "und es ist alles auf Strom Versprechen jemand anderes ", sagt Ragan.
Ragan und Salazar waren vorsichtig Haftung wirklichen Schaden durch Elektrizität der Dienste in Beschlag oder auch austeilen, aber so dass sie ungenießbar ihre Bergbau-Venture drinnen eine Frage der Stunde verbeugte sich. Pro hart, aber weg sie eine winzige Figur des Bergbaus Programme laufen pro 2 Wochen. Nicht ein bisschen ständig erkannt oder aber nach oben nach unten geschlossen.
Abgesehen von Litecoin Bergbau, sagen die Forscher können sie auch an ihren verwendet cloudbots nehmen pro zusätzliche Schad-Enden wie übersät Passwort-Knacken, Klickbetrug oder auch Denial-of-Service-Angriffe mit dem Ziel der Flut Ziel Webseiten mit Second-Hand-Waren-Verkehr . aus dem Grund, dass die Cloud-Dienste bieten weit zusätzliche Netzwerkbandbreite als die übliche Mutterland Zentraleinheit besitzt, sagen sie ihre Botnetz kann auch an geschleust mehr oder weniger 20.000 PCs-wert von Angriffsverkehr nehmen von der Seite der jedem bekannten Ziel . Ragan und Salazar waren nicht in der Lage, in der Tat messen die Größe ihrer Attacke, jedoch aus dem Grund, das nicht ein bisschen ihre Testziele waren in der Lage, online verlängert ausreichende pro eine genaue Interpretation bleiben. "Wir sind immer noch suchen pro Freiwilligen ", scherzt Ragan.
Weitere beunruhigende noch Ragan und Salazar sagen Ziele wäre es besonders hart zu filtern erhalten verboten einen Angriff von hoch angesehenen Cloud-Services ins Leben gerufen. "Stellen Sie sich eine gestreut Denial-of-Service-Angriff irgendwo den ankommenden IP-Adressen sind alle von Google und Amazon", sagt Ragan. "das wird eine Herausforderung. man kann nicht mit dem Ziel der Blacklist in einem Stück IP-Bereich."
Gesetzestreue Bürger
Mit einem Cloud-basierte Botnetz-Profi mit dem Ziel, die Art des Angriffs, der Verlauf der Aktion, Ort illegale nehmen würde. Doch mit der Schaffung des Botnetzes in Innenräumen der Grund Ort nicht stattfinden könnte, so argumentieren die beiden Forscher. Sie zugeben, dass sie verletzt ganz die Bestimmungen Minderheit der Unternehmen des Dienstleistungsverträge, aber es ist immer noch eine Frage der offiziellen Frage, ob eine solche Klage ein Verbrechen darstellt. Verletzung Leute Kleingedruckte Regeln hat an ausgewählte Strafverfolgung unter der zentralen Verarbeitungseinheit Betrug und Missbrauch sein, beigetragen haben, in dem Maße in Innenräumen die Situation der letzten Aaron Swartz. Aber von der Seite des kleinsten Betrag einzigen Stuhl hat mit dem Ziel der Verletzung von Dienstvorschriften ohne Hilfe ausgeschlossen stellt keine Zentraleinheit Betrug. Und die Mehrheit der Bestimmungen der Dienstverletzungen straffrei zu erreichen-ein Sonnenfaktor bekannt, wie die Minderheit Internet-Nutzer in der Tat lesen.
Ragan und Salazar argumentieren, mit dem Ziel, die ohnehin von offiziellen Schutz, müssen die Unternehmen in den Dienst ihrer eigenen Anti-Automatisierungstechnik setzen, um die Art von Bot-basierte Anmeldungen zeigten sie zu verhindern. Durch die Seite der Instanz von ihrer Black Hat Hörensagen, sie skizzieren, um sowohl die Software, die sie verwendet, um ihre cloudbots erstellen und kontrollieren auch im gleichen Maße Argument Software, die sie sagen, kann Schutz ihrer Systeme der feindlichen ausgeben, im gleichen Maße.
Andere Hacker, in der Nachahmung von allen, nicht in gleichem Maße höflich, um den gleichen Grad Ragan und Salazar in Innenräumen ihre Cloud-Computing-Experimente gewesen. Innenaufnahme der Instanz die beiden Forscher verbrachte die Erforschung der Schlupflöcher im Innenbereich Cloud Computing-Services, sagen sie, sie haben bereits gesehen, Unternehmen wie Engine Yard und AppFog still unten bzw. ihre Chance ungenießbar befreiten Option im gleichen Maße eine Folge der zusätzlichen Hacker ihre Dienste zu nutzen. ein extra Firma speziell im gleichen Maße das Ziel Profi Spirale ungenießbar genannten Botnets Bergbau cryptocurrency seine befreite Version Antlitz.
"Wir wollten das Bewusstsein, dass ist es nicht ausreichend erhöhen Anti-Automatisierung ist, um Schutz feindlich diese Art von Angriffen verwendet", sagt Ragan. "Werden wir fangen Anblick eines im Innenbereich entstehen diese Art von Botnet Die Antwort ist zweifellos sicher."
———
Zurück