Експерти з кібербезпеки компанії Akamai представили два інноваційні підходи для ефективної боротьби з вредоносними майнінговими ботнетами. Розроблені методики використовують архітектурні особливості криптомайнінгових алгоритмів, дозволяючи фахівцям з безпеки блокувати незаконну добычу цифрових валют на системному рівні.
Технологічна основа антимайнінгової стратегії
Обидва методи базуються на експлуатації протоколу Stratum – промислового стандарту комунікації між майнерами та майнінговими пулами. Ключова концепція полягає в цілеспрямованому впливі на критичні компоненти майнінгової інфраструктури: прокси-сервери або гаманці зловмисників.
Згідно з дослідженням Akamai, нові технології здатні “зменшувати продуктивність майнінгових ботнетів до повного припинення їх роботи, змушуючи кіберзлочинців кардинально перебудовувати архітектуру або повністю згортати операції”.
Метод Bad Shares: деструктивний вплив через некоректні обчислення
Перша техніка, названа Bad Shares, спрямована на примусове відключення майнінгового прокси-сервера. Ефективність методу вражає: навантаження на процесор інфікованого пристрою миттєво падає з максимального до нульового рівня.
Принцип атаки заснований на імітації легітимного майнера, який підключається до шкідливого прокси та систематично передає некоректні результати обчислень. Ці “погані частки” проходять первинну валідацію та потрапляють до майнінгового пулу, але серія таких результатів неминуче призводить до блокування прокси-сервера.
For реалізації цієї техніки дослідники створили спеціалізований інструмент XMRogue, який автоматизує процес підключення та генерації шкідливих даних.
Архітектурні вразливості прокси-серверів
Майнінгові прокси виконують функцію посередників між ботнетом та пулом, приховуючи справжні адреси гаманців зловмисників. Парадоксально, але саме ця архітектурна особливість перетворює їх на критичну точку відмови всієї системи.
Альтернативний підхід: експлуатація обмежень майнінгових пулів
Друга методика призначена для сценаріїв прямого підключення майнерів до публічних пулів без використання проксі. Техніка базується на використанні захисних механізмів пулів: більшість платформ автоматично блокують адреси, що використовують понад 1000 воркерів одночасно.
Реалізація полягає у генерації масштабних запитів на підключення з використанням гаманця зловмисника. Перевищення ліміту в 1000 з’єднань призводить до годинного блокування адреси, що тимчасово паралізує роботу ботнету.
Важливо зазначити, що цей метод забезпечує лише тимчасову нейтралізацію – після припинення атаки облікові записи можуть швидко відновити функціональність.
Практичні результати та масштабованість
Команда Akamai успішно протестувала розроблені методи проти майнерів криптовалюти Monero, проте техніки застосовні й до інших цифрових валют. Ключова перевага підходів полягає в їх селективному впливі: легітимні майнери можуть швидко відновитися після атаки, просто змінивши IP-адресу або гаманець локально.
Для операторів ботнетів відновлення становить значно складнішу задачу, що вимагає модифікації всієї розподіленої інфраструктури. У випадку менш досвідчених кіберзлочинців подібний захист здатний повністю вивести ботнет з ладу.
Представлені методики відкривають нові можливості для фахівців з кібербезпеки у протидії незаконному криптомайнінгу. Ефективне застосування цих технік може суттєво знизити активність шкідливих майнінгових кампаній та змусити зловмисників переглянути свої стратегії. Організаціям рекомендується детально вивчити ці підходи та розглянути можливість їх інтеграції в існуючі системи захисту для посилення загального рівня кібербезпеки.