Anatomia dos criptomineradores: Encerrando botnets de mineração

Quando uma operação de criptominerador mal-intencionado é detectada, há atualmente duas maneiras de tentar desativá-la: 

1. Podemos solicitar que a conta do invasor seja banida pelo o serviço de pool

2. Podemos tentar derrubar outros serviços na infraestrutura do invasor para interferir na campanha

O problema com essas opções é que elas podem se tornar bastante complexas e demorar muito tempo por causa da dependência de terceiros.

Encontramos uma opção melhor. 

Desenvolvemos duas técnicas aproveitando as topologias de mineração e as políticas de pool que nos permitem reduzir a eficácia de um botnet criptominerador até o ponto de desligá-lo completamente, o que força o invasor a fazer alterações radicais em sua infraestrutura ou até mesmo abandonar toda a campanha.

Ambas as técnicas baseiam-se na exploração das comunicações da Stratum de modo a permitir a proibição de componentes críticos, como proxies ou carteiras, que estejam relacionados com as contas da operação de mineração.

Fig. 2: Aplicando a técnica de compartilhamentos ruins na configuração do laboratório

A criptomineração por um pool é baseada no envio de cálculos de hash válidos, chamados de compartilhamentos. Para gerar receita, uma criptominerador deve enviar ações para o pool de mineração. Ao receber um compartilhamento, o pool de mineração validará o resultado e a dificuldade do hash.

A validação de compartilhamentos é uma das tarefas mais pesadas que o servidor de pool precisa realizar, especialmente em casos de compartilhamentos inválidos. Assim como acontece com tudo na vida, erros são possíveis; por exemplo, um mau funcionamento de hardware pode levar a compartilhamentos incorretos sendo enviados ao pool.

O tratamento de compartilhamentos inválidos consome muitos recursos, portanto, os pools devem se proteger contra o colapso sob uma carga de envios massivos de compartilhamentos inválidos. Portanto, quando uma ação enviada não passar pela validação do servidor, a maioria dos pools aplicará uma penalidade ao minerador, geralmente na forma de uma proibição temporária.

Essa interação pode ser muito interessante quando se tenta encerrar uma operação de mineração maliciosa. Se pudermos fazer um nó de back-end ou um pool para banir os mineradores invasores (ou seja, as vítimas), poderemos parar a exploração de recursos do criptominerador e, essencialmente, liberar as vítimas.

Nas seções a seguir, demonstramos esse conceito direcionando duas campanhas de mineração que já exploramos anteriormente, cada uma representando uma topologia de mineração diferente: um proxy de mineração e uma conexão direta de pool público.

Uma das topologias de mineração mais populares usadas por criptomineradores mal-intencionados é um proxy de mineração (Figura 3). Essa configuração aumenta a privacidade ocultando o endereço de back-end e o endereço da carteira dos invasores, protegendo assim suas identidades e reduzindo a rastreabilidade dentro da rede.

Os proxies de mineração representam desafios únicos para a detecção de rede, pois "ocultam" o pool de destino ao qual o minerador se conecta, o que geralmente é detectável pela inspeção de rede. Eles também ocultam o endereço da carteira, o que reduz ainda mais o rastro detectável do minerador. No entanto, descobrimos que os proxies de mineração podem servir como um calcanhar de Aquiles dos criptomineradores.

Durante a mineração usando um proxy, todas as vítimas são conectadas a um único servidor, o que significa que a interferência com o proxy pode reduzir toda a operação de mineração. Desenvolvemos uma técnica que nos permite fazer exatamente isso.

A ideia é simples: Ao conectar-se a um proxy mal-intencionado como um minerador, podemos enviar resultados de trabalho de mineração inválidos, compartilhamentos inválidos, que ignorarão a validação do proxy e serão enviados ao pool. Compartilhamentos ruins consecutivos acabarão sendo banidos pelo proxy, interrompendo efetivamente as operações de mineração para todo o botnet de criptomineração.

O criptominerador deve primeiro se conectar ao proxy usando o método de login do Stratum. Se nenhuma outra configuração foi definida, o minerador se identifica como x por padrão no servidor proxy XMRig (Figura 4).

Se a conexão for bem-sucedida, isso significa que há um ouvinte na extremidade do proxy. Podemos garantir que seja realmente um proxy de mineração analisando a resposta, uma resposta válida será um documento JSON que está em conformidade com o protocolo Stratum e o resultado será um trabalho.

Embora o processo completo de mineração seja complexo (conforme descrito em Zero a Monero), criar um compartilhamento personalizado é relativamente simples. Ele só requer a extração de alguns valores da resposta de proxy: O id do npi de trabalho, o id do trabalho e o nicebash nonce. Os três são necessários para acompanhar um trabalho de mineração específico, portanto, se quisermos que o proxy aceite nossos compartilhamentos ruins, precisamos preencher esses campos corretamente (Figura 5).

Ao receber um compartilhamento de um minerador, o proxy o encaminhará para o pool quase como está, com uma diferença importante: ele é enviado sob o endereço de carteira do invasor. É por isso que nunca podíamos saber a carteira ou outras informações sobre a conta do invasor ou o pool da amostra do criptominerador.

Infiltrar-se na botnet de criptomineradores como uma das vítimas não é difícil. Geralmente, não há autorização especial e, em muitos casos, ele usa aplicações padrão como XMRig como minerador e XMRig-proxy como um proxy de mineração.

Isso nos levou a desenvolver o XMRogue. O XMRogue é uma ferramenta que nos permite representar um minerador, conectar-se a um proxy de mineração, enviar compartilhamentos ruins consecutivos e, por fim, proibir o proxy de mineração do pool (Figura 6).

Podemos superar essas validações analisando a solicitação de trabalho e elaborando cuidadosamente um resultado de trabalho "ruim" que é considerado válido pelo proxy, fazendo com que ele encaminhe nossos compartilhamentos para o pool.

Esse proxy gera 3 milhões de hashes por segundo, aproximadamente igual a uma receita de US$ 3 por hora ou US$ 26.000 por ano. Ao segmentar este proxy com o XMRogue, conseguimos rapidamente bani-lo do pool e parar a mineração de todas as vítimas que estavam conectadas a ele. Se inspecionarmos a taxa de hashes do proxy, poderemos ver que ela caiu até zero (Figura 9).

Se considerarmos o impacto do XMRogue em toda a campanha do atacante, poderemos ver uma redução substancial em sua lucratividade. Quando documentamos esta campanha pela primeira vez, ela gerou quase US$50.000 anualmente. Depois de o termos perturbado e desequilibrado, a receita anual da campanha diminuiu 76% para US$ 12.000. Com a segmentação de proxies adicionais, a receita pode ter caído para zero. Esse tipo de impacto poderia facilmente forçar os invasores a abandonar a campanha para obter um bom valor ou correr o risco de ser identificados ao fazer alterações que estão sendo monitoradas.

Os invasores nem sempre usarão um proxy. Em muitos casos, as vítimas se conectarão diretamente ao pool, o que significa que a técnica anterior não será aplicável. O envio de compartilhamentos inválidos simplesmente proibirá nosso endereço IP do pool, sem afetar a operação de mineração.

As técnicas apresentadas acima mostram como os defensores podem efetivamente encerrar campanhas mal-intencionadas de criptomineradores sem interromper a operação legítima do pool, aproveitando as políticas do pool. Um minerador legítimo poderá se recuperar rapidamente desse tipo de ataque, pois pode modificar facilmente seu IP ou carteira localmente.

Essa tarefa seria muito mais difícil para um criptominerador mal-intencionado, pois exigiria a modificação de toda a botnet. No entanto, para mineradores menos sofisticados, essa defesa pode desativar completamente a botnet.