Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mirai-malware had tijdelijk een add-on voor bitcoinmining aan boord

Door , 13 reacties

IBM-beveiligingsonderzoekers hebben een variant van de Mirai-malware ontdekt die tijdelijk was voorzien van een add-on voor bitcoinmining. Het verschijnsel duurde ongeveer een week, waarna de nieuwe variant weer van de radar verdween.

Volgens de onderzoekers begon de activiteit eind maart en duurde in totaal acht dagen. De malware richtte zich op Linux-apparaten die BusyBox aan boord hebben. Dat kunnen iot-apparaten als digitale videorecorders zijn, die ook het doelwit waren van de oorspronkelijke Mirai-malware. De huidige versie was gebaseerd op een eerdere Windows-versie van Mirai, die functies voor sql-injectie en brute force-aanvallen introduceerde.

Een nieuw onderdeel was echter een add-on voor het delven van bitcoins. De vraag die deze toevoeging oproept, is of iot-apparaten wel in staat zijn om deze taak effectief uit te voeren, omdat er aanzienlijke cpu- en gpu-prestaties voor nodig zijn. Deze vraag is niet door de onderzoekers beantwoord, maar zij stellen dat Mirai is gemaakt om duizenden apparaten te infecteren, waardoor de mogelijkheid bestaat dat het botnet samenwerkt om alsnog effectief te zijn.

Zo zou de mining-modus ingeschakeld kunnen worden als het apparaat geen andere taken aan het uitvoeren is. Normaal gesproken wordt het Mirai-botnet ingezet om grote ddos-aanvallen uit te voeren, zoals in oktober op dns-provider Dyn. Nadat de broncode van de malware online kwam, verschenen er verschillende varianten van Mirai. De kortstondige activiteit als bitcoinminer wordt door de onderzoekers niet verklaard, maar wekt de indruk van een korte test of een tegenvallend experiment.

Door Sander van Voorst

Nieuwsredacteur

11-04-2017 • 08:22

13 Linkedin Google+

Reacties (13)

Wijzig sortering
Al zou je momenteel 10.000 computers met top GPU's besmetten, dan nog bracht het minen van Bitcoins weinig op.

Om het te onderbouwen: een beetje fatsoenlijke AMD videokaart doet zo'n 800Mhash/s aan SHA-256 mining power.

Met 10.000 stuks, zit je dan op 8.000.000 Mhash/s, ofwel 8000 Ghash/s, ofwel 8 Thash/s.

Gooi je dat door de Bitcoin Mining Calculator dan mine je daarmee per maand zo'n 0,111 BTC, ofwel voor zo'n 135 Dollar aan Bitcoins. Nauwelijks de moeite van het programmeren waard.

Omdat de hashrate nog steeds groeit, levert het daarnaast iedere maand minder op.

Een topmodel ASIC miner, zoals de AntMiner S9, doet zo'n 14.000 Ghash/s (14Thash/s) in z'n uppie en er zijn miningfarms waar ze hele hangars vol hebben staan met dat soort ASIC's.

Het hele Bitcoin-netwerk wordt inmiddels al door 3.787.567.437 GH/s ondersteund, het equivalent van 270,540 AntMiner S9 miners :D

Met een CPU minen is nog wat minder rendabel, een moderne Intel i7 met 10 cores doet ~ 110 Mhash/s, dat zou zo'n 0.0000001 BTC per maand opleveren.

[Reactie gewijzigd door BlueTooth76 op 11 april 2017 09:01]

Hebben t over iets meer devices, met minder rekenkracht, maar het kost de bouwer geen energie. Al krijgt ie er een (paar) uit - zou indrukwekkend zijn - maar voor ontwikkelaar prima werkbaar :+
Met enorm veel minder rekenkracht. De meeste IoT apparaten hebben echt heel weinig rekenkracht. Zelfs met een miljoen geÔnfecteerde apparaten werkt het niet snel genoeg (je moet het ook nog zien te managen)
Nee, zo'n ontwikkelaar krijgt er nooit een paar BTC uit met IOT devices of PC's.
1 BTC gaat 'm zelfs niet lukken ;)

Zelfs als je 10.000 Gaming PC's hebt levert het amper wat op (zie berekening hierboven).

[Reactie gewijzigd door BlueTooth76 op 11 april 2017 08:54]

Jij rekent op zo'n 135 dollar per maand met 10000 computers. Soms infecteren ze honderdduizenden of zelfs miljoenen computers. Dan is het toch een aanzienlijk hoog bedrag? (Autopilot)

[Reactie gewijzigd door php op 11 april 2017 21:29]

Nee...

Ik heb het in mijn berekening over 10.000 computers met de snelste AMD GPU's aan boord die zo'n 800Mhash/s doen.

Hoeveel PC's bij een gemiddelde computerbezitter denk jij te moeten besmetten voordat je aan dat aantal AMD GPU's zit?

Wat zie je het meest tegenwoordig?
- laptops (minen op CPU gemiddeld 15Mhahs/s)
- klein percentage gamers laptops (CPU en GPU gemiddeld 150Mhashs/s)
- pc's zonder dedicated GPU (25Mhash/s)
- klein percentage game bakken (CPU en GPU gemiddeld 250Mhashs)

Hou er ook rekening mee dat Nvidia een veel lagere hashrate heeft dan AMD als het op Bitcoin minen aankomt.

Dus ook met 1.000.000 besmette PC's zal je amper wat minen.

Een beetje slimme virusschrijver zal z'n tijd er niet meer aan verdoen.

Met een Cryptolocker variant verdient hij gemiddel 0,5 Bitcoin per besmetting als het slachtoffer betaalt, dat levert meer op.

[Reactie gewijzigd door BlueTooth76 op 11 april 2017 09:57]

Daarnaast richt dit virus zich met name op iot apparaten, die al helemaal niet in de buurt komen van de performance van wat jij noemt.

Dus je zou letterlijk miljarden besmette machines moeten hebben, dus ik geef je groot gelijk.
Als hij al deze geinfecteerde devices aansluit via een miningpool zal hij zeker wel wat BTC genereren.
Nogmaals kijkend naar onze leefstandaard denk ik dat de tijd die het gekost heeft om de malware te bouwen meer 'geld/tijd' heeft gekost dan dat ze met BTC mining gaan terugverdienen.
Het zou zelfs zomaar kunnen zijn dat het zelfs met een miningpool een kansloos verhaal is.

Het concept achter dergelijke pools is vaak dat ze hun miners vragen om blocks te genereren met een ruim lagere moeilijkheidsgraad dan de moeilijkheidsgraad die het Bitcoin-netwerk vereist. Deze inzendingen worden bijgehouden, en vanwege de statistiek erachter gaat er eens in de zoveel tijd een block ingeleverd worden met de moeilijkheidsgraad die hoog genoeg is voor het netwerk en heeft de pool een block binnengesleept.

Dan volgt er een stukje economie: hoe hoog moet die moeilijkheidsgraad zijn? Bij een te hoge moeilijkheidsgraad worden er nauwelijks inzendingen gedaan (en krijg je een slechte verdeling ten opzichte van de rekenkracht), maar bij een te lage moeilijkheidsgraad worden heel veel oplossingen ingestuurd en heeft de pool dus veel bandbreedte en hardware nodig om dat te verwerken. Aangezien je graag deelnemers met snelle hardware wilt hebben, wil je dat iemand met een snelle pc per block op het Bitcoin-netwerk een paar inzendingen kan doen, en laat je mensen met Asics zelf een hogere moeilijkheidsgraad instellen om verkeer te beperken (je beloont deelnemers met een hoger ingestelde moeilijkheidsgraad proportioneel meer per inzending). Je hanteert dus ergens een minimum en maximum.

Dan komen we nu (eindelijk) aan bij de IoT-apparaten. Deze apparaten hebben dusdanig weinig rekenkracht dat ze zelfs met de laagste moeilijkheidsgraad die je kan krijgen alsnog nauwelijks inzendingen naar een pool kunnen doen. Met wat mazzel krijg je misschien een inzending per dag, maar waarschijnlijk gaat het eerder richting een inzending per maand. Vervolgens blijkt die ene inzending nauwelijks waarde te vertegenwoordigen, en ga je dus ineens heel veel apparaten nodig hebben om, ehm, nog steeds nauwelijks wat over te houden in totaal.

Aan het einde komen daar ook nog eens een uitbetaalgrens en transactiekosten bij om de Bitcoins bij de pool vandaan te halen voordat je eindelijk echte Bitcoins hebt. Aan de andere kant krijg je echter een factuur binnen op de (digitale) deurmat voor de Command&Control server. Ik denk dat ik wel een gok kan maken welke van de twee het hoogste bedrag is...

[Reactie gewijzigd door dcm360 op 11 april 2017 10:23]

Ook een goed punt, niet eens aan gedacht maar wel correct.

[Reactie gewijzigd door BlueTooth76 op 11 april 2017 11:05]

Je hebt wel steeds meer rekenkracht nodig, maar er komen ook steeds meer apparaten aan IoT te hangen.
De vraag die deze toevoeging oproept, is of iot-apparaten wel in staat zijn om deze taak effectief uit te voeren,
:').

Rekenen voor gratis; natuurlijk is dat efficiŽnt. |:(.
Rekenen voor gratis; natuurlijk is dat efficiŽnt. |:(.
Als het gratis zou zijn dan zou je gelijk hebben. Het onderhouden van een botnet kost echter ook tijd en moeite. Het onderhouden van je worm zodat hij zich blijft vermenigvuldigen ook.

Het toevoegen van een bitcoin miner zorgt er voor dat de kans op detectie omhoog gaat. Dat betekend meer werk om het botnet in stand te houden. De bitcoins die je mined zijn dusdanig nihil dat dat nooit kan opwegen tegen de extra moeite die het je kost.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*