XMRogue permettrait aux défenseurs de soumettre les résultats du travail minier non valides d’ordinateurs infectés pour obtenir un serveur proxy banni du botnet.
Dans son rapport, Akamai a déclaré qu’en utilisant l’outil, il a pu arrêter un proxy de cryptomiminage (un serveur qui distribue des tâches aux mineurs) qui générait environ 26 000 $ US par an, et d’arrêter l’exploitation minière par toutes les victimes qui y étaient connectées. Si Akamai avait ciblé des procurations supplémentaires dans ce botnet, il pense que les attaquants auraient pu abandonner la campagne.
Les chercheurs admettent que les personnes derrière cette campagne particulière pourraient essayer de modifier le botnet pour le remettre en action – mais s’ils le faisaient, ils risqueraient d’être identifiés.
Cependant, les créateurs de botnet n’utilisent pas toujours de proxy. Dans de nombreux cas, les victimes se connecteront directement à la piscine, de sorte que la tactique de soumettre de mauvaises actions interdire simplement l’adresse IP des défenseurs du pool sans affecter l’opération minière.
Dans ce cas, Akamai propose l’inclusion de la capacité de cibler le portefeuille numérique du botnet, un ensemble de secrets de cryptographie qui permet aux utilisateurs de transformer des actifs sur la blockchain, qui doit être présent sur une machine victime et est donc vulnérable aux défenseurs utilisant l’outil d’Akamai, XMROGOG. La tactique utilise un script pour envoyer plus de 1 000 demandes de connexion simultanées en utilisant le portefeuille de l’attaquant, ce qui obligera la piscine à interdire le portefeuille.
Cette tactique pourrait interrompre plus d’opérations minières, mais ce n’est pas une solution permanente, admet Akamai. Une fois qu’il a arrêté les multiples connexions de connexion dans un test, le taux d’exploitation de la campagne s’est rétabli.
Pourtant, les experts en cybersécurité croient que l’outil est promis.
«J’adore cela», a déclaré David Shipley, PDG du fournisseur canadien de sensibilisation à la sécurité Beauceron Security. «Imposer les coûts est la seule façon de gagner à long terme contre la cybercriminalité. Ce n’est pas une solution miracle, mais ce sera une douleur majeure pour les créateurs de botnet et les mainteneurs de Cryptominer. À mesure que ces coûts augmentent, cela aide à briser le modèle commercial criminel.
« C’est intelligent, serviable et bien nécessaire », a-t-il ajouté. «À la baisse, les criminels de la cryptomine peuvent passer de ce niveau de criminalité principalement ennuyeux en crime plus destructeur, car ce type d’efforts de perturbation obtient des résultats.»
Mais, a-t-il ajouté, l’outil ne sera pas une solution à long terme. « Les botnets plus intelligents s’adapteront », a-t-il déclaré. «Les décentralisés ne s’en soucieront pas.»
Une rare victoire pour les défenseurs
Pourtant, il a déclaré que « Akamai vient de publier une victoire rare pour les défenseurs, qui dans l’espace de botnet de cryptomiminage est vraiment rare. Être capable de démanteler l’infrastructure – similaire à l’attaque des ransomwares en tant qu’infrastructure de service – il y aura des victoires immédiates … si la capacité est active. »
Akamai dit que l’idée derrière son outil, est simple: en se connectant à un proxy malveillant en tant que mineur, les défenseurs peuvent soumettre des résultats de travail minière invalides – ce qu’Akamai appelle des «mauvaises partages» – qui contournera la validation de la procuration et sera soumis au pool. Les actions méchantes consécutives obtiendront éventuellement l’interdiction de procuration, interrompant efficacement les opérations minières pour l’ensemble du botnet de cryptomine.
Pour tester la technique, Akamai a utilisé XMRogue contre une campagne minière et a pu extraire les adresses de tous les procurations minières, identifier le serveur de proxy central et l’interdire du pool. Cela a fonctionné. Lorsque Akamai a documenté cette campagne pour la première fois, elle a généré près de 50 000 $ par an, mais après avoir perturbé un seul proxy, le chiffre d’affaires annuel de la campagne a diminué de 76% à 12 000 $. En ciblant des procurations supplémentaires, Akamai estime que les revenus auraient pu être tombés à zéro. « Ce type d’impact pourrait facilement forcer les attaquants à abandonner leur campagne pour de bon, ou à prendre un risque d’être identifié lorsqu’ils apportent des changements surveillés », a conclu Akamai.
Cela ne supprime pas le code malveillant des systèmes, a souligné Lee de l’Institut SANS, mais est essentiellement une tactique invalidante pour bloquer l’infrastructure centrale autour de l’exploitation minière «d’une manière très cool et créative».
Il faudra toujours des répondeurs incidents et des analystes de logiciels malveillants pour éliminer le logiciel de botnet sur chaque point final, a-t-il souligné. « Cependant », a-t-il ajouté, « en étant en mesure de combiner des techniques ciblant directement les botnets et l’infrastructure, considérons cela comme une victoire massive pour aujourd’hui. »
Une nouvelle façon de penser
Au fur et à mesure que les cyberattaques évoluent, il est important que les organisations aient une approche claire de la façon dont elles veulent réagir, a commenté Fernando Montenegro, vice-président et pratique de la pratique de la cybersécurité au groupe Futurum. «Cette réponse peut être différente au niveau de l’organisation individuelle par rapport à la réponse publique dans son ensemble. Je le mentionne parce que je pense que des actions comme celles-ci sont vraiment intéressantes et peuvent être utiles, mais pour moi, ils se rapprochent de l’interdiction et de la réponse publique plus que des organisations individuelles. En regardant les techniques elles-mêmes, je pense que c’est brillant de passer après les objectifs de monétisation que les attaquants ont.»
La technique des «mauvaises actions» s’est révélée très efficace, a noté le dahan d’Akamai. «Dans certains cas, cela nous a permis d’arrêter complètement des botnets entiers. Mais nos recherches vont au-delà d’un seul outil; il introduit une nouvelle façon de penser. Malgré leur nature distribuée, les réseaux de cryptomiminage malveillants comptent presque toujours sur un` `goulot d’étranglement» qui peut être ciblé pour perturber les opérations.
