Bakit ang ZeroAccess botnet ay huminto sa pagmimina ng Bitcoin

Mayroong ilang mga ulat sa linggong ito na nagdedetalye kung paano tinanggal ng security firm na Symantec ang isang malaking bahagi ng isang Bitcoin mining botnet na tinatawag na ZeroAccess. Ang iilan, kung mayroon man, ay binanggit na ang bahagi ng pagmimina ng Bitcoin ng botnet ay T gumagana sa loob ng halos anim na buwan, dahil sadyang pinatay ito ng mga developer. Ang tanong, bakit?

Ang ZeroAccess ay isang piraso ng malware na nagdudugtong sa isang infected na computer sa isang malaking network ng mga katulad na nakompromisong machine. Pagkatapos ay maaari silang kontrolin ng isang sentral na tagapangasiwa, na karaniwang tinatawag na abala, na pagkatapos ay kukuha ng mga makina upang gawin ang kanyang pag-bid.

Karamihan sa mga botnet Social Media sa mga mahuhulaan na gawaing kriminal, gamit ang mga computer ng mga biktima upang magpadala ng spam, o simpleng pag-aani ng sensitibong impormasyon sa mga infected na makina, upang magamit ng mga cybercriminal ang mga ito upang magnakaw ng pera. Ang iba ay ginagamit para sa pandaraya sa pag-click, kung saan ang mga makina ay ginawa upang mag-click sa kumikitang mga link sa online.

Iba ang ZeroAccess, dahil kasama dito ang isang module ng pagmimina ng Bitcoin . Ginamit ng software ang mga CPU ng mga nahawaang computer upang sa akin para sa bitcoins, ibinabalik ang kita sa mga nang-aabala.

Ang ZeroAccess ay T isang bagong botnet - unang nakita ito ng Symantec noong tag-araw ng 2011, ayon kay Vikram Thakur, isang pananaliksik na may Symantec Security Response. Ang susunod na malaking rebisyon ay lumitaw makalipas ang isang taon, na may mga menor de edad na rebisyon na natagpuan sa pagitan.

Ngunit may makabuluhang nangyari noong Abril ngayong taon, sinabi niya, na nagpapaliwanag:

"Hindi na ginagamit ng ZeroAccess ang module ng pagmimina ng Bitcoin noong Abril 2013. Ginamit ng botnet ang kapangyarihan ng hashing ng lahat ng bot na iyon hanggang Abril 2013 at pagkatapos ay naglabas ng update na epektibong nag-alis ng module ng pagmimina. Walang pagmimina na nangyari sa network ng ZeroAccess mula noon."

Bakit papatayin ng mga nang-aabala ang isang software module na nagiging sanhi ng maraming makina na masayang naglabas ng mga bitcoin?

Maraming mga teknikal na matalinong mga tao na nagbabasa nito ay lalabas sa malinaw na konklusyon, na ang pagmimina ng CPU ay walang kabuluhan, dahil sa mataas na kahirapan na dulot ng mabilis na pagtaas ng hash rate sa network. Ito naman ay sanhi ng isang pagbaha ng ASIC mining hardware na nagtutulak sa mga GPU sa labas ng larawan, pabayaan ang computationally anemic na mga CPU.

Symantec kahit na ang matematika, pagkuha ng isang medyo lumang test computer bilang isang halimbawa. Gumamit ito ng 2Gb, 3.4GHz Dell OptiPlex GX620 Pentium D machine upang makita kung gaano kahusay ang maaaring maging sanhi ng malware sa pagmimina nito. Gumamit ito ng 136.25 Watts kada oras sa pagmimina sa 1.5Mh/sec. Ilagay iyan sa tabi ng mga makina na iyon Ang KNC Miner ay nagsimula lamang sa pagpapadala at parang nanonood a Umaasa si Robin sa tabi ng isang Ducati.

Si Gregory Maxwell, ONE sa CORE dev team para sa Bitcoin, ay nagsabi na ang isang mabilis na CPU ay gumagana sa rehiyon na 1MH/GHz, ibig sabihin, ang isang mabilis na quad CORE 3GHz na makina ay maaaring gumawa ng 12MH/s. Ngunit ang mga mas bagong makina ba ay malamang na kabilang sa mga nahawahan?

"Hindi bababa sa nakaraan, ang aking impresyon ay ang mga botnet machine ay mas lumang mga makina (mas malamang na magkaroon ng kasalukuyang mga patch), kaya mas katulad ng isang solong CORE na 2GHz na makina—o 1.5Mh/s," sabi niya.

Kahit na nahawahan ang mas mabibilis na makina, malamang na hindi nila magagamit ang lahat ng kanilang kapangyarihan para sa pagmimina. Ipinapalagay ng mga pagtatantya ng hash rate na ang mga computer ay magiging ganap na idle, sa lahat ng oras.

Kaya sa pagsasagawa, ang botnet ay T malamang na magkaroon ng isang makabuluhang epekto sa network, argues Maxwell. 1.9 milyong 1.5 MH/s host ay katumbas lamang ng humigit-kumulang 2.85 TH/s. Ang network ay na pag-hash sa higit sa 1 Petahash bawat segundo, na nangangahulugan na ang botnet na ito ay maliliit na patatas.

Ngunit wala sa mga ito ang talagang mahalaga, salamat sa napakaraming user na T nakakaintindi ng pangunahing seguridad sa IT at regular na nahawahan. Sa kaso ng ZeroAccess, mayroong 1.9 milyon sa kanila.

Ipagpalagay natin - para sa kapakinabangan ng mga kriminal - na ang bahagyang paggamit ng CPU at ang impeksyon ng mas malalakas na makina ay magkakansela sa isa't isa, at ang average na hash rate para sa 1.9 milyong makina sa network ay talagang 1.5Mh/sec. Ang average na computer ay kikita ng humigit-kumulang 41 cents bawat taon, ayon sa Symantec. Ngunit 1.9 milyon sa kanila ang mag-mint ng libu-libong dolyar kada araw para sa mga kriminal. Iyan ay madaling pera. Bakit i-off ito?

May ilang ideya si Thakur. Ang una ay masamang daloy ng trabaho sa pagmimina. "Ang server ng mining pool ay may static na domain, na maaaring tanggalin ng pagpapatupad ng batas kung may nag-ulat ng mga aktibidad ng botnet; marahil ang botmaster ay natatakot na masubaybayan bilang resulta ng pagkakaroon ng isang static na domain bilang bahagi ng imprastraktura ng payload," sabi niya.

Gayunpaman, mayroong isang mas malamang na senaryo sa kanyang isip, na isang pangunahing kaso ng ekonomiya. Kahit na ang mga nang-aabala ay kumikita ng pera mula sa ipinagbabawal na pagmimina, maaari silang kumita ng mas maraming pera, hindi gaanong malinaw, na ginagawa itong isang pangunahing tanong kung saan pinakamahusay na gugulin ang kapangyarihan sa pag-compute.

Iminumungkahi ni Thakur:

“Ang botmaster ay hindi kumikita ng halos kasing dami ng pera sa pamamagitan ng pagmimina ng Bitcoin (isipin ang kadahilanan ng kahirapan) kumpara sa click fraud.











Ang pagsubaybay sa pandaraya sa loob ng mga network ng advertising ay napakahirap, na ginagawang mas kapaki-pakinabang na itago ang mga kita sa likod ng naturang imprastraktura."

Ang lahat ng ito ay mga edukadong hula, at hanggang sa may makahuli sa mga nang-aabala at magtatanong sa kanila, hindi namin malalaman nang tiyak.

Ang aming hula ay ito ay isang kumbinasyon ng dalawa, at posibleng isang tuhod-jerk na reaksyon sa mga paggalaw ng merkado. Ang mga botherders quashed ang Bitcoin mining function noong Abril, nang ang interes sa Bitcoin ay umabot sa pinakamataas na lahat, at nang bumagsak ang currency mula $266 hanggang $40. Marahil ay nagpasya sila na ang halaga ng pera ay T ginagarantiyahan ang mga dagdag na cycle ng CPU sa puntong iyon.

Kami ay pustahan na ang mining module ay T muling maa-activate ngayong ang network hashing power ay tumataas. Ang Symantec ay naglabas na rin ng kalahating milyon ng mga makina sa isang maayos na teknikal na hakbang na kilala bilang sinkholing. Ang kaso para sa muling pagpapakilala nito ay patuloy na lumiliit.

Sa kabilang banda, sa lalong madaling panahon Litecoin – ang nangingibabaw na coin batay sa CPU-friendly na Scrypt network – naaabot ang pangunahing kaalaman at nakuha ang atensyon ng nang-aabala, maaari nating asahan na makita ang mga botnet na lubos na nakikinabang. Kung mangyayari ito, aabutin iyon ng ilang taon.