0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Криптовалюта Монеро (Monero, XMR) — полный обзор: перспективы, характеристики, история, особенности, майнинг и кошельки

Криптовалюта Монеро (Monero, XMR) — полный обзор: перспективы, характеристики, история, особенности, майнинг и кошельки

Криптовалюта Monero (XMR) входит в топ-20 по рыночной капитализации. Ключевые параметры монеты – конфиденциальность, безопасность и невозможность отслеживания. Официальный тикер – XMR. Первоначальное название: Bitmonero. Криптовалюта торгуется на многих криптобиржах, в том числе, на Binance.

Монеро – это криптографическая валюта, в основе которой лежит протокол CryptoNote, обеспечивающий высокий уровень анонимности каждой транзакции. Важное отличие валюты от конкурентов – автономность. Чтобы проводить платежи, пользователю не нужно взаимодействовать с третьими лицами или другими пользователями.

Структура транзакций аналогична Bitcoin: каждый участник подписывает платеж своим приватным ключом перед отправкой адресату. Однако в модели Monero отправитель генерирует на основе адреса получателя одноразовый уникальный открытый ключ. Получатель же должен расшифровать его при помощи своего приватного ключа.

Что такое Monero

Monero — криптовалюта с акцентом на приватных транзакциях. Секрет заключается в использовании криптографии для скрытия адресов отправителя и получателя. Сумма перевода также скрывается.

Эти действия проводятся по умолчанию, поэтому конфиденциальность здесь постоянная, а не выборочная. Примером последнего служит Zcash. Напомним, у этой криптовалюты есть как открытые, так и частные адреса.

Вклад в проект внесли более 420 разработчиков. Форумы Monero в онлайне, чаты живы.

Машина по выкачиванию денег: майнер Monero

Пока мир ждет, где нанесут новый удар знаменитые кибергруппы типа Lazarus или Telebots, вооруженные аналогами WannaCry или Petya, операторы менее резонансных кампаний
зарабатывают без лишнего шума. Одна из таких операций продолжается как минимум с мая 2017 года. Атакующие заражают веб-серверы Windows вредоносным майнером криптовалюты Monero (XMR).

Злоумышленники, стоящие за данной кампанией, модифицировали легитимный майнер на базе открытого исходного кода и использовали уязвимость в Microsoft IIS 6.0 CVE-2017-7269 для скрытой установки малвари на непропатченные серверы. За три месяца мошенники создали ботнет из нескольких сотен зараженных серверов и заработали на Monero больше 63 тысяч долларов.

Пользователи ESET защищены от любых попыток использования уязвимости CVE-2017-7269, даже если их машины пока не пропатчены, как это было с эксплойтом EternalBlue, используемым в распространении WannaCry.

Monero или Bitcoin?

Несмотря на рост курса биткоина, Monero имеет несколько преимуществ, которые делают эту криптовалюту весьма привлекательной для майнинга с помощью вредоносного ПО. Это невозможность отследить транзакции и доказать применение алгоритма CryptoNight, который использует компьютерные и серверные CPU и GPU (в отличие от биткоина, для добычи которого нужно специализированное оборудование).

В течение последнего месяца курс Monero вырос с 40 до 150 долларов, а затем снизился до 100 долларов.


Рисунок 1. Свечной график курса XMR/USD в августе 2017 года

Криптомайнер

Впервые обнаруженное in-the-wild 26 мая 2017 года, вредоносное ПО для майнинга – модификация легитимного майнера Monero на базе открытого исходного кода xmrig (версия 0.8.2, представленная 26 мая 2017 года).

Авторы вредоносного майнера не меняли оригинальную кодовую базу, только добавили жестко закодированные аргументы командной строки с адресом своего кошелька и майнинговым пулом URL, а также несколько аргументов для уничтожения ранее запущенных экземпляров малвари во избежание конкуренции. Подобная доработка занимает не больше пары минут – неудивительно, что мы обнаружили малварь в день выпуска базовой версии xmrig.

Вы можете видеть модифицированный майнер злоумышленников и его сравнение с доступным исходным кодом на рисунке ниже.



Рисунок 2. Сравнение кода исходной и модифицированной версий майнера

Сканирование и эксплуатация

Доставка майнера на компьютеры жертв – наиболее сложная часть операции, но даже здесь атакующие использовали самый простой подход. Мы выявили два IP-адреса, с которых осуществляется брутфорс-сканирование на предмет уязвимости CVE-2017-7269. Оба адреса указывают на серверы в облаке Amazon Web Services.

Уязвимость, которую использовали атакующие, обнаружили в марте 2017 года исследователи Чжи Ниан Пэн (Zhiniang Peng) и Чэнь Ву (Chen Wu). Это уязвимость в службе WebDAV, которая является частью Microsoft IIS версии 6.0 в ОС Windows Server 2003 R2. Уязвимость переполнения буфера в функции ScStoragePathFromUrl запускается, когда уязвимый сервер обрабатывает вредоносный НТТР-запрос. В частности, специально сформированный запрос PROPFIND приводит к переполнению буфера. Подробный анализ механизма описан Хавьером М. Меллидом и доступен по ссылке. Уязвимость подвержена эксплуатации, поскольку находится в службе веб-сервера, которая в большинстве случаев должна быть доступна из интернета и ее легко использовать.

Шелл-код является ожидаемым действием загрузки и выполнения (загрузка dasHost.exe из hxxt://postgre[.]tk/ в папку %TEMP%):


Рисунок 3. Шелл-код, доставленный эксплойтом

По нашим данным, первая эксплуатация этой уязвимости in-the-wild произведена всего через два дня после публикации ее описания 26 марта 2017 года. С тех пор уязвимость активно используется.

Новый вредоносный майнер впервые замечен 26 мая 2017 года. С этого момента он распространяется волнообразно – это означает, что злоумышленники продолжают поиски уязвимых машин.


Рисунок 4. График волн заражения

Сканирование всегда выполняется с одного IP-адреса, вероятнее всего, машины, которая размещена на облачном сервере Amazon, арендованном злоумышленниками.

Статистика

Статистика майнингового пула была общедоступной, поэтому мы можем видеть совокупный хешрейт всех жертв, предоставивших вычислительные мощности для майнинга. Постоянное значение достигало 100 килохешей в секунду (kH/s) с пиками до 160 kH/s в конце августа 2017 года, которые мы связываем с кампаниями, запущенными 23 и 30 августа.

В целом, зараженные машины добывали порядка 5,5 XMR в день к концу августа. Заработок в течение трех месяцев составил 420 XMR. При курсе 150 долларов за 1 XMR, доход операторов майнера составлял 825 долларов в день и больше 63 000 долларов в общей сложности.

Атакующие активизировались в конце августа, но с начала сентября мы не наблюдаем новых заражений. Более того, поскольку в майнере не предусмотрен механизм персистентности, атакующие начинают терять скомпрометированные машины, а общий хешрейт упал до 60 kH/s. Это не первый перерыв в деятельности кибергруппы, скорее всего, в ближайшем будущем стартует новая кампания.

Нам неизвестно точное число пострадавших, но мы можем примерно оценить его по общему хешрейту. Согласно показателям CPU, хешрейт высокопроизводительного процессора Intel i7 достигает 0,3–0,4 kH/s. В данной кампании используются системы под управлением Windows Server 2003, которые, скорее всего, работают на старом оборудовании со сравнительно слабыми процессорами. Поэтому средний хешрейт жертвы будет намного ниже, а общее число инфицированных машин – выше; можно говорить о сотнях жертв.


Рисунок 6. Статистика кошелька атакующих, предоставленная майнинговым пулом

Заключение

В основе данной кампании – легитимный майнер с открытым исходным кодом и некоторое число машин с устаревшими необновленными операционными системами. Для получения прибыли операторам вредоносного майнера пришлось лишь незначительно доработать код, эксплуатационные расходы минимальны.

ESET детектирует вредоносный бинарный файл майнера как троян Win32/CoinMiner.AMW, попытки эксплуатации уязвимости на сетевом уровне как webDAV/ExplodingCan. Это реальный пример пакета, который будет заблокирован:


Рисунок 5. Специальный HTTP-запрос с шелл-кодом

Microsoft завершила поддержку Windows Server 2003 в июле 2015 года и не выпускала патчей для уязвимости CVE-2017-7269 до июня 2017 года — пока критические уязвимости для устаревших операционных систем не привлекли пристальное внимание вирусописателей. Во избежание масштабных деструктивных атак наподобие эпидемии WannaCry корпорация приняла решение закрыть эти уязвимости. Тем не менее, поддерживать Windows Server 2003 довольно сложно, поскольку автоматические обновления не всегда хорошо работают (это подтверждает, например, пост Клинта Боссена). Следовательно, большая часть систем по-прежнему уязвима. Мы настоятельно рекомендуем пользователям Windows Server 2003 как можно скорее установить KB3197835 и другие обновления безопасности (если автоматическое обновление не работает, загрузите патч вручную!).

Индикаторы компрометации

Сайты загрузки:
hxxp://postgre.tk
hxxp://ntpserver.tk

IP адреса источника атаки:
54.197.4.10
52.207.232.106
18.220.190.151

Хеши:
31721AE37835F792EE792D8324E307BA423277AE
A0BC6EA2BFA1D3D895FE8E706737D490D5FE3987
37D4CC67351B2BD8067AB99973C4AFD7090DB1E9
0902181D1B9433B5616763646A089B1BDF428262
0AB00045D0D403F2D8F8865120C1089C09BA4FEE
11D7694987A32A91FB766BA221F9A2DE3C06D173
9FCB3943660203E99C348F17A8801BA077F7CB40
52413AE19BBCDB9339D38A6F305E040FE83DEE1B

Лучшая биржа криптовалют для хранения Monero

Биржевой счет — отличная альтернатива обычным онлайн-кошелькам. Крупные криптовалютные биржи хранят до 98% активов пользователей на холодных кошельках, используют передовые протоколы шифрования данных и заботятся о своей репутации. Благодаря этому обеспечивается максимальная защита средств, размещенных на счетах.

К сожалению, пользователи ограничены в выборе торговых площадок, поддерживающих Monero. Анонимность криптовалюты зачастую приводит к делистингу монеты. Однако XMR представлена на самой крупной криптовалютной бирже в мире — Binance.

Binance — это китайская криптовалютная биржа, основанная в 2017 г. Она занимает лидирующие позиции на рынке. Суточный объем торгов на площадке в настоящий момент составляет около 2 млн. ВТС. Нетрудно предположить, какие меры защиты использует Binance и насколько заботится о репутации, чтобы оставаться самой популярной криптобиржей.

Для создания кошелька Monero на бирже вы должны зарегистрироваться. При регистрации необходимо указать:

  • E-mail
  • Пароль

После успешного создания аккаунта потребуется включить двухфакторную аутентификацию и пройти верификацию — и сможете использовать все возможности Binance.

  • Хранить XMR и еще более 150 криптовалют. Монеты хранятся на счете биржи, поэтому вы можете авторизоваться в своей учетной записи на любом устройстве и получить доступ к своим средствам;
  • Принимать/отправлять монеты. Для приема транзакций вы можете отправить адрес другому пользователю. Отправка монет осуществляется в интуитивном интерфейсе.
  • Покупать криптовалюту с карты. Binance поддерживает покупку монет (в том числе XMR) с банковской карты;
  • Торговать криптовалютой. Классическая биржевая торговля.

Биржевой кошелек можно использовать как в веб-версии, так и в формате мобильного приложения. Это не мобильный кошелек для криптовалют («программное хранилище», как, например, Cake Wallet), а обычное приложение, упрощающее работу с биржей на смартфоне.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector