Получаем доступ к чужим майнерам, используя OSINT

Admin

Administrator
Регистрация
12.08.2016
Сообщения
722
Оценка реакций
452
malicious-crypto-miners-featured-680x400.jpg
Приветствую всех инопланетян на нашем форуме)
OSINT (Open Source INTelligence) — поиск, сбор и анализ информации, полученной из общедоступных источников.
В этой статье я расскажу вам о том, как, используя лишь публичные источники, можно (но не нужно!) завладевать чужими майнинговым фермами.

Antminer
Предположим, вы захотели майнить криптовалюты. Закупать множество видеокарт, материнских плат, прочих "железок", а также настраивать всё оборудование - тот ещё гемор. Учитывая, что у вас ещё и ограниченный бюджет, одним из лучших вариантов на рынке выступает

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

S9/S7 с lighttpd сервером на борту. Мало того, что это маленький бокс, который нужно только запитать, так ещё и настройка осуществляется через админ - панель. Плохо защищенную админ - панель.
1c295c31fe849d5e7a287.png
При отправке запроса к серверу, в ответе можно увидеть характерные, только для этого майнера, заголовки. Для начала, формируем поисковой запрос и используем Censys, чтобы найти ещё боксы.
(antminer) AND 80.http.get.title: 401 AND protocols: "80/http"
a8c95960eb5072e85bdbd.png
При вводе логина и пароля, используется дайджест-аутентификация. Мы можем воспользоваться брутфорсом, но давайте сначала узнаем имя пользователя. По запросу “antminer default password” в гугле, я наткнулся на руководство пользователя. В котором указан логин по умолчанию - root.
d1d4bebad94cca1813f7d.png
Для брутфорса, я использую Hydra. Но тут уже дело вкуса - можете использовать и другие инструменты, вроде potator или вообще burp. Словарики паролей берем

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и начинаем атаку.
hydra -l root -P commonPasswords.txt -vV {цель} http-get /
Спустя пару минут, получаем хороший результат и видим заветную страницу:
5699c31d6d84bc374bf3e.jpg

Claymore Miner
Давайте покажу ещё одну атаку, на этот раз на пользователей Claymore Miner. Переходим в Shodan и вводим следующую дорку:
1784ee0c8257840f66d3e.png
У Claymore Miner есть удобный интерфейс для удаленного управления. При помощи Claymore Remote Manager API, мы можем, как узнать статистику, так и настроить майнинг, находясь вдали от дома. Вся информация, как ем пользоваться, находится в файле API.txt.

Давайте, для начала, при помощи команды "miner_getstat1", узнаем больше о цели:
0d252d9e01478eeaa11fd.jpg
Теперь используем “control_gpu”, чтобы изменить настройки:
6156c3dc542d0ae5fbdac.jpg
Ошибка! Которая решается сменой IP-адреса ¯\_(ツ)_/¯.

Например, команда "miner_restart" также требует права на запись, но теперь она исправна работает и у меня:
4c75a521c916e25046ea6.jpg

Если у вас Windows, для управления можно также использовать Claymore Remote Manager с GUI.
1adbd1ed62d17767ceb87.jpg
Запускаем, добавляем "машину", кликаем ПКМ по ней и выбираем "Edit config.txt". После этого изменяем чужой кошелёк на свой.
85879a955c0303db7e393.jpg
 

Skyw4lker

New Member
Регистрация
21.09.2019
Сообщения
2
Оценка реакций
0
Отличная статья двухгодичной давности)
Единственное, не понятно по поводу смены ip. Можно больше инфы кого куда?)
 

Skyw4lker

New Member
Регистрация
21.09.2019
Сообщения
2
Оценка реакций
0
Отличная статья двухгодичной давности)
Единственное, не понятно по поводу смены ip. Можно больше инфы кого куда?)
То есть он просто перебирал айпишники из списка Shodan, пока не прокатило?) Скорее всего дело не в айпи, а в дефолтном порте 3333, который позволяет вносить изменения. Но с 2017-го много воды утекло, думаю немного майнеров осталось на стандартных настройка. Тем более, после шумихи, что натворил Satori:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 

Название темы