Diese Woche gab es mehrere Berichte darüber, wie das Sicherheitsunternehmen Symantec einen großen Teil eines Bitcoin-Mining-Botnets namens ZeroAccess entfernt hat. Was nur wenige erwähnen, ist, dass der Bitcoin-Mining-Teil des Botnets seit fast sechs Monaten nicht mehr funktionierte, weil die Entwickler es absichtlich töteten. Die Frage ist, warum?

ZeroAccess ist eine Malware, die einen infizierten Computer mit einem großen Netzwerk ähnlich kompromittierter Computer verbindet. Sie können dann von einem zentralen Administrator kontrolliert werden, der gemeinhin als Störer bezeichnet wird, der dann die Maschinen erhält, um seine Befehle auszuführen.

Die meisten Botnets folgen vorhersehbaren kriminellen Praktiken, verwenden Computer von Opfern, um Spam zu versenden, oder sammeln einfach sensible Informationen auf den infizierten Maschinen, so dass Cyberkriminelle sie dazu verwenden können, Geld zu stehlen. Andere werden für Klickbetrug verwendet, bei dem Maschinen auf profitable Online-Links klicken.

ZeroAccess war anders, weil es ein Bitcoin-Mining-Modul enthielt. Die verwendete Software infizierte Computer-CPUs, um nach Bitcoins zu suchen, um den Gewinn an die Störenfriede zurückzugeben.

ZeroAccess ist kein neues Botnet - Symantec sah es erstmals im Sommer 2011, so Vikram Thakur, eine Untersuchung mit Symantec Security Response. Die nächste große Revision erschien ein Jahr später, mit kleineren Überarbeitungen dazwischen.

Aber etwas Bedeutendes ist im April dieses Jahres passiert, sagte er und erklärte:

"ZeroAccess hat das Bitcoin-Mining-Modul im April 2013 abgeschafft. Das Botnet hat bis April 2013 die Hashing-Power all dieser Bots genutzt hat ein Update veröffentlicht, das das Mining-Modul effektiv entfernt hat. Seither ist im ZeroAccess-Netzwerk kein Mining mehr passiert. "

Warum sollten die Täter ein Softwaremodul umbringen, das viele Maschinen dazu brachte, Bitcoins glücklich auszugeben?

Viele technisch kluge Leute, die dies lesen, werden zu dem offensichtlichen Schluss kommen Das heißt, dass CPU-Mining angesichts der hohen Schwierigkeit, die durch die schnell zunehmende Hash-Rate im Netzwerk verursacht wird, nutzlos ist, was wiederum durch eine Flut von ASIC-Mining-Hardware verursacht wird, die GPUs aus dem Bild drängt, geschweige denn anämisch CPUs.

Am Beispiel eines relativ alten Testcomputers hat Symantec sogar einen Rechner mit einem 2Gb, 3. 4GHz Dell OptiPlex GX620 Pentium D-Rechner berechnet, um zu sehen, wie gut die Malware es mir zufügen könnte 25 Watt pro Stunde mit 1,5 Mh / Sek. Bei Minen setzen Das neben den Maschinen, die KnC Miner gerade in Betrieb genommen hat, und es ist wie ein Reliant Robin neben einer Ducati.

Gregory Maxwell, eines der Kern-Entwicklerteams für Bitcoin, sagt, dass eine schnelle CPU tut die Region von 1 MH / GHz, was bedeutet, dass eine schnelle Quad-Core-3GHz-Maschine 12 MH / s tun könnte. Aber sind neuere Maschinen wahrscheinlich unter den Infizierten?

"Zumindest in der Vergangenheit hatte ich den Eindruck, dass Botnet-Maschinen eher ältere Maschinen waren (weniger wahrscheinlich, dass sie aktuelle Patches haben), also eher wie ein Single-Core-2GHz-Rechner oder 1. 5Mh / s", sagte er .

Auch wenn schnellere Computer infiziert sind, werden sie wahrscheinlich nicht all ihre Möglichkeiten für das Mining nutzen. Diese Hash-Rate-Schätzungen gehen davon aus, dass die Computer die ganze Zeit im Leerlauf sind.

In der Praxis wird dies nicht passieren. Maxwell weist darauf hin, dass ihre Mining-Kapazität eine Funktion ihrer CPU-Auslastung ist. Wenn 50% der CPU-Kapazität von anderen Programmen genutzt werden, haben sie nur noch die Hälfte der verfügbaren Kapazität für das Mining.

In der Praxis wird das Botnetz wahrscheinlich keinen signifikanten Einfluss auf das Netzwerk haben, argumentiert Maxwell. 1. 9 Millionen 1. 5 MH / s Wirte entsprechen nur etwa 2. 85 TH / s. Das Netzwerk hat bereits Hashing bei mehr als 1 Petahash pro Sekunde, was bedeutet, dass dieses Botnet kleine Kartoffeln ist.

Aber all dies spielt keine Rolle, dank der großen Anzahl von Benutzern, die grundlegende IT-Sicherheit nicht verstehen und sich regelmäßig infizieren. Im Fall von ZeroAccess gab es 1,9 Millionen von ihnen.

Nehmen wir an - zum Vorteil der Kriminellen -, dass sich die teilweise CPU-Auslastung und die Infektion von leistungsfähigeren Rechnern gegenseitig aufheben, und dass die durchschnittliche Hash-Rate für die 1,9 Millionen Rechner im Netzwerk tatsächlich 1,5Mh betrug / Sek. Der durchschnittliche Computer würde laut Symantec rund 41 Cent pro Jahr verdienen. Aber 1. 9 Millionen von ihnen würden Tausende von Dollar pro Tag für die Verbrecher prägen. Das ist leichtes Geld. Warum abschalten?

Thakur hat einige Ideen. Der erste ist ein schlechter Mining-Workflow. "Der Mining-Pool-Server hatte eine statische Domain, die von der Strafverfolgung hätte entfernt werden können, wenn jemand die Aktivitäten des Botnets gemeldet hätte; Vielleicht hatte der Botmaster Angst davor, aufgespürt zu werden, weil er eine statische Domäne als Teil der Payload-Infrastruktur hatte ", sagte er.

Es gibt jedoch ein wahrscheinlicheres Szenario, das ein grundlegender Fall der Ökonomie ist. Selbst wenn die Störenfriede Geld aus illegalem Abbau verdienen würden, könnten sie mehr Geld verdienen, weniger transparent, was es zu einer grundlegenden Frage macht, wo die Rechenleistung am besten ausgegeben wird.

Thakur schlägt vor:

"Der Botmaster hat im Vergleich zum Klickbetrug nicht so viel Geld durch Bitcoin-Mining verdient.

Das Aufspüren von Betrug innerhalb der Werbenetzwerke ist sehr schwierig, wodurch es lukrativer wird, Gewinne hinter einer solchen Infrastruktur zu verbergen. "

Das sind alles Vermutungen, und bis jemand die Mörder sticht und sie verhört, werden wir nie sicher wissen.

Unsere Vermutung ist, dass es sich um eine Kombination aus beidem handelt und möglicherweise auch eine reflexartige Reaktion auf Marktbewegungen. Die Macher haben die Bitcoin-Mining-Funktion im April eingestellt, als das Interesse an Bitcoin ein Allzeithoch erreichte und die Währung von $ 266 auf $ 40 stürzte. Vielleicht haben sie entschieden, dass der Währungswert die zusätzlichen CPU-Zyklen zu diesem Zeitpunkt nicht gewährleistete.

Wir setzen darauf, dass das Mining-Modul nicht mehr reaktiviert wird, wenn die Netzwerk-Hash-Leistung explodiert. Symantec hat auch gerade eine halbe Million der Maschinen in einer technischen Aktion namens Sinkholing außer Gefecht gesetzt. Der Fall für die Wiedereinführung wird immer kleiner.

Sobald jedoch Litecoin - die vorherrschende Münze, die auf dem CPU-freundlichen Scrypt-Netzwerk basiert - das Mainstream-Bewusstsein erreicht und die Aufmerksamkeit des Betrachters auf sich zieht, können wir davon ausgehen, dass Botnets alle Vorteile nutzen. Wenn es passiert, wird das ein paar Jahre dauern.