Wie Hacker Hid eine Geld-Botnet Mining im Bereich der Wolken von Amazon ua
25.07.2014 14:43Wie Hacker Hid eine Geld-Botnet Mining im Bereich der Wolken von Amazon ua
Hacker rühmen verlängert verwendet Malware an Armeen Chance PCs zu versklaven, aber Sicherheitsexperten Streifen Ragan und Oscar Salazar hatte eine besondere Vorstellungen: Warum viel Rechen Reichtum aus nicht schuldig Opfer, sobald es gibt so viel kostenlose Verteilen von Macht statt der in der Nähe verboten nehmen?
Von der Seite der Black-Hat-Konvention im Bereich der Las Vegas Monat später Ragan und Salazar Tabelle zu verbreiten, wie sie gebaut ein Botnetz mit einsamen kostenlose Studien und Freemium-Konten auf Online-Applikation-Hosting-Services, die Art-Programmierer üben statt der Entwicklung und versuchen zu verhindern, dass eine gute kaufen ihre eigenen Server-und Gepäckraum. Duo der Hacker verwendet einen automatisierten Prozess, um einzigartige E-Mail-Adressen zu generieren und melden Sie sich an Stelle von kostenlosen Konten Leute en masse, Montage eine Cloud-basierte Botnetz von rund tausend Computern.
Mit dem Ziel der Online-Roboter-Horde konnte der Einführung koordinierten Cyber-Attacken, das Knacken von Kennwörtern oder auch Bergbau Hunderte von Dollar-Ära im Wert von cryptocurrency. Und durch den Zusammenbau mit dem Ziel der Botnet von Cloud-Konten leichter als entführt Computer, Ragan und Salazar glauben ihre Bildung sogar offizielle rühmen.
"Wir mehr oder weniger baute ein Prozessor anstelle der kostenlose", sagt Ragan, der zusammen mit Salazar Mechanismus, um den gleichen Grad ein Forscher anstelle der Sicherheitsberatung Bischof Trick. "Wir sind ohne Zweifel zur Disposition zu gehen, um zu sehen, zusätzliche Schad Besetzung kommenden verboten dieser Dienste. "
Firmen wie Google, Heroku, Cloud Foundry, CloudBees und viele weitere Angebot Entwicklern die Möglichkeit, ihre Anwendungen auf Servern in der Sphäre der isolierten Datenzentren, die oft den Wiederverkauf Rechen Fülle von Unternehmen wie Amazon und Rackspace. Ragan und Salazar Besitz Gastgeber testeten die Erklärung Bildungsprozess statt der zusätzlichen als 150 Leute an. Solitary ein Drittel von ihnen ein paar obligatorische Anmeldeinformationen vor eine E-Mail-Adresse, weitere in einer Reihe wie eine Anerkennung tag, Telefon Menge oder auch reiche verboten ein Captcha. inmitten der Wahl bei erleichtern zwei Drittel, sie unter Beschuss in der Region von 15 Dienstleistungen mit dem Ziel, ihnen erlauben, sich zu registrieren anstelle einer kostenlosen Erklärung oder auch eine kostenlose Testversion. die Forscher werden nicht Nachnamen Leute anfällig Dienstleistungen, um Teil böswilligen Hackern zu verhindern Spur in die Sphäre ihrer Schritte. "Eine Notlage dieser Unternehmen sind Startups ermüdend zu den gleichen Grad viele Benutzer im gleichen Maße schnell in gleichem Maße auf den Karten zu induzieren", sagt Salazar. "Sie sind nicht wirklich das Denken in der Bereich der Verteidigung im Widerspruch dieser Art von Angriffen. "
Die Kapern
Ragan und Salazar bildeten ihre automatische Schnellfeuer Anmeldung und Bestätigung Prozess mit der E-Mail-Service-Affen und ihren eigenen Lehrplan auf Google App Engine laufen einen Dienst namens FreeDNS.Troubled.Org erlauben ihnen zu schaffen ungebremst E-Mail-Adressen auf spezielle Domänen;. Um realistische-suchen Adressen, die sie verwendet, Variationen über echte Adressen mit dem Ziel, fanden sie online in der Art und Weise der ehemalige Datenmissbrauch geworfen. Daher sind sie Python-Stoff, ein Tool, mit dem Ziel verwendet, können Entwickler bekommen durch mehrere Python-Skripte, um die Hunderte von Computer steuern über die sie in Besitz genommen hatte.
Einzel ihrer führenden Experimenten mit ihren zeitgenössischen Cloud-basierte Botnetz wurde Bergbau die cryptocurrency Litecoin. (Das am zweithäufigsten verwendet cryptocoin ist besser, als CPUs Bitcoin, die fast jeder jeden Fall mit GPU-Chips abgebaut ist die Cloud Computer "geeignet.) Sie mit dem Ziel, sie können auch in der Region von 25 Cent pro Stück Erklärung Stück Ära basierend auf Litecoin Vortrag Pflicht der Seite der Generation machen gefunden. Putting ihre vollständige Botnet hinter mit dem Ziel der Aufwand wäre erzeugt rühmen $ 1.750 pro Woche. "Und es ist alles auf die Stromrechnung ist jemand anderes ", sagt Ragan.
Ragan und Salazar waren vorsichtig Haftung Echt durch Elektrizität der Dienste in Beschlag oder auch austeilen, aber aufgewickelt, so dass sie verbeugte ungenießbar ihre Bergbau Chirurgie in der Sphäre einer Angelegenheit von Stunden. Anstelle zu versuchen, aber sie weg eine kleine Menge Bergbau-Programme anstelle von zwei Wochen läuft. Nicht ein bisschen zunehmend erkannt oder aber nach oben nach unten geschlossen.
Abgesehen von Litecoin Bergbau, sagen die Forscher können sie auch anstelle der benutzten ihre cloudbots rühmen zusätzliche Schad-Enden wie übersät Passwort-Knacken, Klickbetrug oder auch Denial-of-Service-Angriffe mit dem Ziel der Flut Ziel Webseiten mit Second-Hand-Waren-Verkehr . aus dem Grund, dass die Cloud-Dienste bieten weit zusätzliche Netzwerkbandbreite als die üblichen Land Ihrer Geburt Zentraleinheit besitzt, sagen sie ihre Botnetz kann auch rühmen, in der Region von 20.000 PCs-wert von Angriffsverkehr an der Seite von einigen geschleust bekannten Ziel. Ragan und Salazar waren nicht in der Lage, in der Tat messen die Größe ihrer Attacke, jedoch aus dem Grund, das nicht ein bisschen ihre Testziele waren in der Lage, online längeren anstelle einer genauen Bewertung bleiben aus. "Wir suchen immer noch statt der Freiwilligen ", scherzt Ragan.
Weitere alarmierende noch Ragan und Salazar sagen Ziele wäre es ausgraben besonders hart verboten einen Angriff von hoch angesehenen Cloud-Dienste gestartet filtern. "Stellen Sie sich eine gestreut Denial-of-Service-Angriff irgendwo den ankommenden IP-Adressen sind alle von Google und Amazon", sagt Ragan. "das wird eine Herausforderung. man kann nicht mit dem Ziel der Blacklist in einem Stück IP-Bereich."
Gesetzestreue Bürger
Mit einem Cloud-basierte Botnetz statt mit dem Ziel, Art des Angriffs, der Spur folgen würde illegal. Doch mit der Schaffung des Botnetzes in der Sphäre des führenden Platz nicht ergeben können, argumentieren die beiden Forscher. Sie zugeben, dass sie verletzt ganz ein Bestimmungen der Minderheitsgesellschaften von Dienstleistungsvereinbarungen, aber es ist immer noch eine Angelegenheit der offiziellen überlegen, ob eine solche Handlung stellt ein Verbrechen. Verletzung Leute Kleingedruckte Regeln hat insbesondere Strafverfolgung unter der zentralen Verarbeitungseinheit Betrug und Missbrauch Spiel in beigetragen hat, auf den gleichen Abschluss in der Sphäre der Anklage der Late-Night-Aaron Swartz. Aber von der Seite des kleinsten Betrag Einzelrisiko wurde mit dem Ziel der Verletzung von Dienstvorschriften auf eigene Faust regiert stellt keine Zentraleinheit Betrug. Und die Mehrheit der Bestimmungen der Dienstverletzungen ungestraft lassen-eine zufriedenstellende Faktor bekannt, wie die Minderheit Internet-Nutzer in der Tat lesen.
Ragan und Salazar argumentieren, mit dem Ziel, die ohnehin von offiziellen Schutz, müssen die Unternehmen in den Dienst ihrer eigenen Anti-Automatisierungstechnik setzen, um die Art von Bot-basierte Anmeldungen zeigten sie zu verhindern. Durch die Seite der Generation ihrer Black-Hat-Diskussion, sie Tabelle, sowohl die Software, die sie verwendet, um ihre cloudbots erstellen und kontrollieren auch im gleichen Maße Sicherheits-Software ausgeben, sagen sie, im gleichen Maße können über im Widerspruch zu ihrer Systeme zu beobachten.
Andere Hacker, in der Art und Weise von allen, nicht im gleichen Maße höflich, um den gleichen Grad Ragan und Salazar in die Sphäre ihrer Cloud-Computing-Experimente gewesen. In der Sphäre der Generation verbrachten die beiden Forscher die Erforschung der Schlupflöcher in der Kugel von Cloud Computing-Services, sagen sie, sie bereits gesehen haben Unternehmen wie Engine Yard und AppFog still unten bzw. Biege ungenießbar ihre kostenlose Möglichkeit, im gleichen Maße eine Folge der zusätzlichen Hacker ihre Dienste zu nutzen. ein extra Unternehmen gezielt zitiert Botnets Bergbau cryptocurrency im gleichen Maße das Ziel, statt der wind ungenießbar seine kostenlose Erklärung eine Rolle spielen.
"Wir wollten das Bewusstsein, dass ist es nicht ausreichend Anti-Automatisierung verwendet als im Widerspruch zu dieser Art von Angriff zu beobachten, zu erhöhen", sagt Ragan. "Werden wir gehen, um einen Fortschritt auf dem Gebiet dieser Art von Botnet sehen? Ist die Antwort zweifellos natürlich. "
———
Zurück