Обменник

На этой неделе было несколько отчетов с подробным описанием того, как охранная фирма Symantec удалила значительную часть ботнета для биткойнов, названного ZeroAccess. Что мало, если таковые имеются, упоминается в том, что часть биткойнов в ботнете не функционирует почти шесть месяцев, потому что разработчики намеренно убили ее. Вопрос в том, почему?

ZeroAccess – это вредоносная программа, которая соединяет зараженный компьютер с большой сетью аналогично скомпрометированных компьютеров. Затем они могут управляться центральным администратором, обычно называемым медсестрой, который затем получает машины для выполнения своих ставок.

Большинство бот-сетей следуют предсказуемым криминальным методам, используя компьютеры жертв, чтобы отправлять спам, или просто собирать конфиденциальную информацию о зараженных машинах, чтобы киберпреступники могли использовать их, чтобы украсть деньги. Другие используются для мошенничества с кликом, в котором машины сделаны для кликов по прибыльным онлайн-ссылкам.

ZeroAccess был другим, потому что он включал модуль разработки биткойнов. Программное обеспечение, использующее процессоры зараженных компьютеров, мой для биткойнов , возвращая прибыль для медсестер.

ZeroAccess не является новым ботнетом – Symantec впервые увидела его летом 2011 года, по словам Викрама Тхакура, исследование Symantec Security Response. Следующий крупный пересмотр появился через год, с незначительными изменениями, обнаруженными между ними.

Но что-то важное произошло в апреле этого года, сказал он, продолжая объяснять:

«ZeroAccess отказался от модуля разработки биткойнов еще в апреле 2013 года. Ботнет использовал хэширование всех этих ботов до апреля 2013 года, а затем вытолкнул обновление, которое эффективно удалило модуль интеллектуального анализа данных. С тех пор с сетью ZeroAccess не было никаких горных работ ».

Почему бы больным было убить программный модуль, который вызывал много машин, чтобы с радостью выкачать биткойны?

Многие технически проницательные люди, читающие это, подпрыгнут до очевидного вывода, который заключается в том, что интеллектуальная обработка ЦП бессмысленна, учитывая высокую сложность, вызванную быстро растущей хэш-частотой в сети. Это, в свою очередь, вызвано потоком интеллектуального оборудования ASIC, которое выталкивает графические процессоры из картинки, не говоря уже об вычислительно-анемичных процессорах.

Symantec даже делает математику , используя в качестве примера сравнительно старый тестовый компьютер. Он использовал 2Gb, 3,4 ГГц Dell OptiPlex GX620 Pentium D, чтобы узнать, насколько хорошо вредоносная программа может привести к его использованию. Он использовал 136,25 ватт в час для мойки со скоростью 1,5Mh / sec. Поместите это рядом с машинами, которые KnC Miner только что начал доставку и это похоже на просмотр Reliant Robin рядом с Ducati.

Грегори Максвелл, одна из основных разработчиков для биткойнов, говорит, что быстрый процессор работает в области 1 МГц / ГГц, а это означает, что быстрый четырехъядерный процессор 3GHz может делать 12 Мбит / с. Но являются ли новые машины вероятными среди инфицированных?

«По крайней мере, в прошлом у меня сложилось впечатление, что машины для ботнета имеют тенденцию быть более старыми машинами (с меньшей вероятностью иметь текущие исправления), поэтому больше похожи на одноядерный 2-ГГц процессор или 1,5 Мбит / с», – сказал он.

Даже если более быстрые машины заражены, они вряд ли будут использовать все свои возможности для добычи. Эти оценки скорости хеширования предполагают, что компьютеры будут полностью бездействовать, все время.

circuit board На практике этого не произойдет. Как указывает Максвелл, их мощность добычи зависит от использования их процессора. Если 50% мощности процессора используется другими программами, тогда у них будет только половина мощности для добычи.

Таким образом, на практике ботнет вряд ли окажет существенное влияние на сеть, утверждает Максвелл. 1,9 миллиона хостов 1,5 MH / s соответствуют только 2,85 TH / s. Сеть уже хеширование более 1 Петахаша в секунду , что означает, что этот ботнет – это небольшой картофель.

Но ничто из этого не имеет большого значения, благодаря большому числу пользователей, которые не понимают базовую ИТ-безопасность и регулярно заражаются. В случае с ZeroAccess их было 1,9 миллиона.

Предположим – для выгоды преступников – то, что частичное использование ЦП и заражение более мощных машин отменяют друг друга, а средняя скорость хэша для 1,9 млн. Машин в сети была действительно 1,5 Мгц / сек. Согласно данным Symantec, средний компьютер будет зарабатывать около 41 цента в год. Но 1,9 миллиона из них будут чинить тысячи долларов в день для преступников. Это легкие деньги. Зачем это отключать?

У Тхакура есть некоторые идеи. Первый – это плохой рабочий процесс. «У сервера пула шахт был статический домен, который мог быть снят правоохранительными органами, если кто-то сообщил о деятельности ботнета; возможно, ботмастер боялся быть отслеженным в результате наличия статического домена как части инфраструктуры полезной нагрузки », – сказал он.

Однако в его сознании есть более вероятный сценарий, который является основным примером экономики. Даже если бы медсестры зарабатывали деньги на незаконной добыче полезных ископаемых, они могли зарабатывать больше денег, менее прозрачно, что делало бы основной вопрос о том, где лучше всего тратить вычислительную мощность.

Тхакур предлагает:

«Ботмастер не зарабатывал почти столько же денег за счет биткойн-добычи (думаю, фактор трудности) по сравнению с мошенничеством с кликами.

Отслеживание мошенничества в рекламных сетях очень сложно, что делает его более прибыльным, чтобы скрыть прибыль от такой инфраструктуры ».

Это все образованные догадки, и пока кто-то не наткнется на них и не допросит их, мы никогда не узнаем наверняка.

Наше предположение состоит в том, что это комбинация двух, а также, возможно, реакция колена на рыночные движения. Буферчики отменили функцию добычи биткойна в апреле, когда интерес к биткойну достиг рекордного уровня , и когда валюта упала с 266 долларов до 40 долларов. Возможно, они решили, что значение валюты не оправдывает дополнительных циклов процессора в этот момент.

Мы держим пари, что теперь модуль интеллектуального анализа не активируется, когда мощность хэширования сети резко возрастает. Symantec также просто вывел полмиллиона машин из строя в аккуратном техническом решении, известном как «потопление». Дело о его повторном введении постоянно сокращается.

С другой стороны, как только litecoin – преобладающая монета, основанная на чистых сетях Scrypt, – достигает основной осведомленности и фиксирует внимание медсестры, мы можем ожидать, что бот-сети будут в полной мере пользоваться преимуществами. Если это произойдет, это будет через пару лет.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here