비디오: KTìì´ë¸ë¡, CJì¼ì´ë¸ë· ë± ì´íë¡ì§ ì¤í ë¦¬ì§ ì±ê³µ êµ¬ì¶ ì¬ë¡ (십월 2024)
Fox 주교의 침투 테스터 인 Rob Ragan과 Oscar Salazar는 라스 베이거스에서 열린 Black Hat 2014 컨퍼런스에서 정확히 비용이 들지 않는 클라우드 기반 비트 코인 채굴 기술을 시연했습니다. 이 시점에서 비트 코인 하나는 $ 576.57의 가치가 있습니다. 이와 같은 엄청난 환율로 인해 대량의 컴퓨팅 리소스를 할당 할 필요가없는 비트 코인 채굴은 상당히 유리할 수 있습니다.
정확한 합법적 인 활동은 아니지만 침투 테스터의 역할은 시스템을 해킹하여 패치를 적용하는 것입니다. Ragan은 실험이 "일부 서비스 약관에서 지옥을 위반했다"고 지적했다. 필요한 처리 능력에 액세스하려면 수많은 고유 한 전자 메일 주소를 생성하고 수많은 무료 평가판 계정에 가입해야했습니다. 그렇게하면서 그들은 완벽하게 기능하는 비트 코인 마이닝 봇넷을 구축 할 수있었습니다. Ragan에 따르면, "이 봇넷은 악성 코드로 표시되거나 웹 필터에 의해 차단되거나 탈취되지 않습니다. 이것은 악몽의 일입니다!"
세부 사항 파기
Ragan은“우리는 침투 테스터입니다. "우리는 작년에이 프로젝트를 진행해 왔습니다. 우리는 무료로 제공되는 클라우드 서비스로부터 봇넷을 구축 할 수 있음을 보여주었습니다. 우리는 반자동 화가 불충분하고 간과되는 위험이 있습니까?"라는 질문을 던졌습니다. 취약점?"
살라자르 부사장은“이러한 클라우드 기반 서비스는 여러 가지 일을한다”면서“목적은 개발자들이 즉시 무언가를 구현할 수 있도록하는 것이다”고 말했다. Ragan은 "모든 레거시를 제거하고 가능한 한 빨리 응용 프로그램을 구축 할 수 있습니다."라고 덧붙였습니다. "서비스로서의 플랫폼은 수요가 많은 상품입니다. 그러나 개발자의 삶을 더 편하게 해 준다면 악의적 인 공격자가 더 쉽게 일을 할 수 없을까요? 이것이 바로 우리가 조사한 것입니다."
무제한 이메일 주소
우리는 모두 웹 사이트 또는 서비스에 등록한 경험이 있으며 이메일 링크를 클릭하면 등록이 완료된다고 들었습니다. 우리의 교활한 연구원들은이 과정을 완전히 자동화 할 방법이 필요했습니다.
이 세션에서는 현실적인 사용자 이름과 다양한 도메인으로 무제한 이메일 계정을 만드는 방법을 자세히 설명했습니다. 다음 단계는 해당 계정에 대한 자동 응답을 설정하여 "확인하려면이 링크를 클릭하십시오"라는 전자 메일에 응답 할 수 있습니다. 효과가 있었다! 이 시점에서 그들은 인간의 상호 작용없이 무제한의 고유 한 이메일을 만들 수있는 시스템을 갖추고있었습니다. 그리고 클라우드 기반 MongoDB 무료 평가판을 사용하여 모든 세부 정보를 저장했습니다. 예, 참석자는이 실험에 사용 된 모든 코드를 얻을 수 있습니다.
재밌는 활동들!
"이 시점에서 우리는 DDoS, 암호화 통화 마이닝, 데이터 스토리지 등과 같은 작업을 수행 할 수 있습니다."라고 Ragan은 말했습니다. "침투 테스터로서 우리의 통제하에 분산 된 봇넷을 갖는 것이 목표였습니다." 기꺼이 고객을 대상으로 화이트 햇 DDoS 테스트를 시작하기 위해 길들이는 봇넷을 보유한 것이 확실히 중요했습니다.
그들은 당신이 무제한의 "친구"를위한 이메일 주소를 가지고있을 때 가능한 것을 실험했습니다. 많은 온라인 스토리지 시스템은 친구를 성공적으로 추천하기 위해 추가 기가 바이트를 제공합니다. 일부는이 방법으로 얻을 수있는 총액을 제한하지만 다른 것은 그렇지 않습니다. 라간은 "한 번의 서비스로 테라 바이트를 무료로받을 수있다"고 말했다.
정점에서 실험적인 라이트 코인 채굴 봇넷은 계정 당 하루 약 25 센트를 생성했습니다. 1, 000 개의 활성 계정으로 하루에 250 달러입니다. Ragan은 "우리는 악의적이지 않고 단순히 어떻게되었는지 보여주기를 원치 않았습니다. 그래서 우리는 그만 두었습니다. 그러나 우리는 사람들이 짧은 시간에 많은 돈을 버는 것에 대해 들었습니다. 몇 주 동안 탐지 될 수 있는지 확인했습니다.
자동화 방지
실험 과정에서 많은 서비스가 계정 자동 생성을 막기 위해 검증 시스템을 수정했습니다. 그 이유는 그 이유가 봇넷의 확산이라는 것이 었습니다.
물론, 이 운동의 요점은 잘못 얻은 이익을 창출하는 것이 아닙니다. 평가판 계정을 사용하여 수행 할 수있는 작업이 명확 해지면 공급자가 시스템 남용을 방지하기 위해 더 많은 방어 기능을 추가 할 수 있습니다. Ragan은 "성가신 사용자없이 사람을 식별 할 수있는 방법이 많이있다"고 말했다. 그는 논리 퍼즐, 신용 카드에 의한 유효성 검사, 심지어 라이브 운영자 등의 예를 언급했습니다. 상당한 자동화 방지 기능이없는 클라우드 서비스는 실제 사용자보다 더 많은 봇넷을 보유하고있는 것으로 보입니다.
