Перейти к содержимому
1
1
1
1
1
RabbitRun

Взлом майнеров криптовалют при помощи технологии OSINT

Recommended Posts

Примечание: Все методы расписанные ниже, можете использовать на свой страх и риск.

Open Source Intelligence(OSINT)

Это один из первых способов сбора информации до атаки. В прошлом было много случаев взлома при помощи OSINT. Вместе с развитием устройств передачи информации, мы можем собрать огромный объем важных данных в общедоступной сети. В этой статье, мы будем собирать данные для майнеров криптовалют (Биткоин[Antminer] и Эфир[Claymore]).

 

Прощупываем Antminer!

Самый лучший ASIC биткоин майнер это Antminer S9/S7. Аппаратное обеспечение майнера использует веб-сервер “lighttpd/1.4.32 и некоторые имеют открытые SSH порты. Существует эксплоит для версии“Lighttpd 1.4.31”, однако, вы не сможете получить доступ к серверу с данным эксплоитом.

 

Веб-страница на веб-сервере защищена «HTTP Аутентификацией Дайджест». Критической точкой является то, что шахтерам требуется имя пользователя и пароль для входа в систему.Критическая суть в том, что майнеру требуется имя пользователя и пароль для входа в систему.

ffa613c296766e199950f.png
 

На странице конфигурации antMiner используется «Аутентификация Дайджест»

 

Известно сто нам нужно информация или ключевики(ключевые слова) чтобы собрать данные при помощи технологии OSINT. Эта информация является ключевым словом, включая «antMiner Конфигурации» в заголовках HTTP, которые появляются каждый раз, когда я отправляю запрос на сервер. Я искал на censys.io и на shodan.io при помощи особых дорков и собрал IP-адреса.

(antminer) AND protocols.raw: “80/http” AND 80.http.get.title: “401”

 

 

d71bfa58629651e459d0a.png
 

https://censys.io/ дорки поиска

Доступ к системе можно получить при помощи брутфорс атаки на HTTP порт или на SSH порт.

Сперва мне понадобилось руководство пользователя чтобы узнать HTTP имя пользователя и пароль по умолчанию. После я поискал в гугле по ключевым словам на английском “antminer default password” и нашел сайт в который содержал в себе Руководство для пользователя.

 

28358c9e4c094568d1892.png
 

Руководство для пользователя AntMiner | Мы можем с лёгкостью найти в поисковике

 

 

Для данного мануала , я предпочел использовать hydra для брутфорс атаки (Bruteforcing HTTP Digest Authentication- Брутфорс HTTP аутенсификации дайджест) с открытыми наиболее популярными распространёнными 10 000 паролями. Также можно использовать Burp Suite Intruder

hydra -l root -P commonPasswords.txt -vV {TARGET} http-get /

 

Если тебе посчастливилось получить доступ на страницу конфигурации.

8c854270cc59d365407d3.jpg
 
Страница конфигурации antMiner

Злоумышленники могут редактировать страницу по своему желанию.

 

Программное обеспечение майнера Claymore

Другой тип атаки также нацелен на программное обеспечение майнера Claymore Miner (например, Altcoins, ethereum, майнер zcash)

 

Я совершил другой поиск в shodan.io с помощью конкретных дорков.

f67a3e4d598c946d523ce.png
 
Дорки: “ETH — Total Speed:”

 

Можете отправить несколько пакетов JSON (JavaScript Object Notation— текстовый формат обмена данными) с помощью API-интерфейса Claymore Remote Manager для удаленного управления сервером майнера.

Тут мы, управляем графическими процессорами (отключаем, включаем сдвоенный режим и т.д) или же редактируем config.txt чтобы изменить пул адреса кошелька отправив несколько команд.

a81c58a6f9386f7230906.png
 
Claymore Remote Manager API.txt

 

Мы отправим команду “miner_restart” или “control_gpu” чтобы определить является ли он в режиме только для чтения или записи/чтения. Я использовал NC для отправки JSON команды на MacOS.

Сперва, мы попытаемся выполнить команду с "miner_getstat1"

 

56312c4f6abe1c0f725ce.png
 
Этот код дает статистику майнер-сервера.

 

После этого мы попытаемся отправить команду с“control_gpu” чтобы определить является ли он в режиме только для чтения или записи/чтения.

 

 

Мы получили сообщение об ошибке с кодом указанным ниже.

4ee4569821b0781a6c249.png
 
Сервер майнера имеет режим только чтение.

 

Мне удалось перезапустить систему, когда использовал другой IP-адрес. Тут показало, что Claymоre Remоte Mаnаger API позволяет чтение / запись аутентификацию.

44d4b4608a7ef495da663.jpg
 
Перезапуск майнер сервера.

 

Claymore Remote Manager также позволяет редактировать файл конфигурации с использованием формата JSON (отправив JSON -файл). Тем не менее, вы можете с лёгкостью отредактировать его с помощью Claymore's Ethereum Dual Miner Manager в Windows, также можете изменить пул адрес кошелька.

 

9bbda9725f8e74ea6f5c2.png
 
Если у вас есть разрешение чтения/записи, ты можешь редактировать config.txt

 

e100748cdffcad9c0726b.png
 
Можно увидеть/отредактировать пул адрес кошелька.

Фантази для взлома:

  • Я не пробовал ввести команду в Claymore Майнер Софт с отправкой команды JSON. Если у него есть уязвимость, можно получить доступу к серверу без разрешения чтения/записи .
  • Можете улучшить методы поиска с помощью OSINT для сбора массивных данных.
  • Можете даже повредить все графические процессоры контролируя охладительной системой после редактирования config.txt :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, vengr1122 сказал:

Как я понимаю, теперь с такими навыками всем иайнерам конец?)

Эти навыки надо ещё ж отработать так, чтобы реально выходило заниматься этим и был реальный выхлоп. Надо чтобы все было правильно настроено и налажено. В общем пока им будет хана они выгребут все бабки мира себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 05.11.2017 в 23:03, EleganT сказал:

Эти навыки надо ещё ж отработать так, чтобы реально выходило заниматься этим и был реальный выхлоп. Надо чтобы все было правильно настроено и налажено. В общем пока им будет хана они выгребут все бабки мира себе.

Та и начнем с того что это совсем и не навыки, а просто информация, а вот навыки пойдут уже после старта занятия этим

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
23 часа назад, rocknrolla сказал:

Та и начнем с того что это совсем и не навыки, а просто информация, а вот навыки пойдут уже после старта занятия этим

навык скорее всего появятся после первой прибыли

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 02.04.2018 в 19:54, Gradus сказал:

Слегка сомнительно пока что. Там же тоже не дураки этим занимаются.

Нет здесь ничего сомнительного. Кто-то понимает суть процессов, а кто-то нет

Вот и вся кухня

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...