Monero

Эксперты обнаружили новое бесфайловое вредоносное программное обеспечение (ПО), которое назвали PyLoose, способное майнить криптовалюту, оставаясь практически незаметным за счёт необычного механизма работы. «Червь» нацелен на облачные системы на основе операционной систем Linux.

Аналитики компании по информационной безопасности Wiz сообщили, что неизвестные хакеры нашли новый способ майнить криптовалюту Monero (XMR), используя чужие вычислительные мощности. Необычным в этом случае является то, что «малварь» нацелена облачные серверы под управлением Linux, которая считается значительно более устойчивой к вирусам в сравнении с более распространённой ОС Windows, а также уникальный механизм работы вредоноса.

По словам специалистов, PyLoose представляет собой относительно простой скрипт, написанный на языке Python с предварительно скомпилированным в base64-кодировке майнером XMRig – широко распространенным инструментом с открытым исходным кодом, который используется для майнинга XMR. При этом, PyLoose является бесфайловым ПО, то есть он не сохраняется на жестком диске в виде исполняемого файла, а загружается напрямую в оперативную память, не оставляя следов присутствия на носителях, что делает его крайне малозаметным для защитных средств.

«С помощью Wiz Runtime Sensor мы недавно обнаружили новое бесфайловое ПО, нацеленное на облачные вычислительные мощности. В основе ПО лежит код, написанный на языке Python, который загружает майнер XMRig непосредственно в память с помощью memfd – известного бесфайлового механизма в Linux. Насколько нам известно, это первая публично задокументированная бесфайловая атака на основе Python, направленная на облачные вычислительные мощности, и, по нашим данным, насчитывается около 200 случаев, когда это ПО использовалось для майнинга криптовалют. Мы назвали атаку PyLoose по URL-адресу, на котором размещался загрузчик Python (https://paste[.]c-net.org/chattingloosened)»,, — говорится в блоге компании Wiz.

Memory File Descriptor или сокращенно memfd – это механизм, предоставляемый ядром Linux, который позволяет создавать анонимные файлы непосредственно в оперативной памяти компьютера без отображения на диске. Он может быть использован для различных целей, включая обмен данными, создание временных файлов и реализацию безопасных механизмов обмена данными.

Одним из преимуществ memfd является его быстрота и эффективность. Поскольку данные хранятся непосредственно в памяти, обмен данными происходит без необходимости использования диска, что может быть полезно в сценариях, где требуется быстрый доступ к информации. Однако по этой же причине memfd может быть использован злонамеренными атакующими для скрытого присутствия в системе.

«Несмотря на известность этой технологии, сообщения о новых случаях бесфайловых атак, нацеленных на облачные системы, поступают редко. Так, последний раз о такой активности сообщалось два с половиной года назад компанией AT&T, когда TeamTNT использовала Ezuri, инструмент с открытым исходным кодом, написанный на языке Go, для загрузки бесфайлового вредоноса», — говорится в публикации Wiz.

Специалисты Wiz также разъяснили, что атаки начинались с получения первоначального доступа к устройствам через общедоступные сервисы Jupyter Notebook, в которых не было ограничения на исполнение системных команд.

С помощью HTTPS GET-запроса злоумышленник подтягивает вредоносный код (PyLoose) с сайта, подобного Pastebin, «paste.c-net.org», а затем загружает его прямо в память среды выполнения Python.

Скрипт PyLoose декодируется и распаковывается, загружая скомпилированный майнер XMRig непосредственно в память устройства с помощью memfd.

«После загрузки вредоноса в разделе памяти, созданном с помощью memfd, злоумышленники могут послать запрос на исполнение одного из системных вызовов exec для содержимого этого раздела памяти так, как если бы это был обычный файл на диске и, таким образом, запустить новый процесс», — объясняют аналитики.

Специалисты также отметили, что хакеры использовали относительно свежую версию (v6.19.3) майнера XMRig, который настроили на майнинг Monero через майнинг-пул «MoneroOcean».

В Wiz не смогли установить кто может стоять за PyLoose, поскольку злоумышленник или группа злоумышленников не оставили никаких следов, которые могли бы раскрыть его личность. Эксперты добавили, что обнаруженное ПО выглядит весьма изощренным и выделяется на фоне типичных угроз, нацеленных на облачные системы.

Администраторам таких систем порекомендовали использовать надежные пароли и многофакторную аутентификацию для защиты доступа к своим сервисам, а также устанавливать ограничения на выполнение системных команд.

Источник: Wiz.

Читайте также:

• Кросс-чейн мост Poly Network взломали на $34 млрд, но злоумышленнику досталось только $10 млн

• Elliptic: Atomic Wallet взломали хакеры из Северной Кореи и вывели средства на биржу Garantex, украдено более $100 млн

• На Ledger обрушился шквал критики из-за новой спорной функции резервного копирования seed-фразы в облако

• Хакер украл Эфира на $10 млн из хорошо защищённых кошельков, специалисты в замешательстве

Mordinals или ординалы Monero, протокол, который подобно оригинальному протоколу Ordinals на Bitcoin позволяет выпускать невзаимозаменяемые токены (NFT) засчёт вписывания дополнительный данных в блок транзакций, совершаемых на блокчейне. Однако, далеко не все рады новинке.

От снижения уровня конфиденциальности в сети до возможности размещения незаконного контента на блокчейне без возможности его удалить – сообщество Monero, блокчейна с противоречивой репутацией, ориентированного на приватность, высказывает множество опасений по поводу нововведения.

Что такое Mordinals?

В январе Кейси Родармор запустил протокол Bitcoin Ordinals, позволяющий любому человеку вписывать произвольные данные в блоки с транзакциями на блокчейне Bitcoin. Это позволяет пользователям прикреплять данные к одному сатоши – минимальной неделимой частью Bitcoin. Протокол Ordinals отслеживает эти сатоши, связанные с ними данные и их уникальные идентификаторы, что позволяет, таким образом, выпускать в сети NFT и другие токены.

Mordinals – это, по сути, модифицированная реализация Ordinals на блокчейне Monero. В то время как Ordinals требуют хранения данных в части «witness» транзакции Bitcoin, Mordinals используют поле «tx_extra», которое есть в каждой транзакции Monero. Технически это возможно делать на Monero с 2014 года, но до сих пор этой функции не было найдено никакого применения.

Критикуют Mordinals примерно за то же самое, за что критикуют Bitcoin- аналог, но с дополнительным акцентом на то, как он может повлиять на высокие стандарты конфиденциальности, являющиеся основной «изюминкой» Monero. Сообщество Monero ценит конфиденциальность превыше всего, и внедрение NFT в сеть противоречит усилиям разработчиков, которые стремятся сделать токены данного блокчейна как можно более не выделяющимися и непримечательными.

Для защиты конфиденциальности транзакции Monero подписываются с помощью «кольцевых подписей», которые объединяют настоящую транзакцию с несколькими фейковыми для того, чтобы её нельзя было отследить. Если злоумышленник с достаточным капиталом наводнит блоки Monero мординалами, отличить реальные транзакции от массовых NFT-транзакций будет проще простого. Это вызывает искреннее беспокойство у сторонников Monero.

В 2020 году Налоговая служба США предложила вознаграждение в размере 625 000 долларов тому, кто найдёт способ отслеживать Monero-транзакции, поэтому можно с уверенностью сказать, что у людей есть мотивация для проведения подобных атак.

Другой распространенной критикой в адрес Mordinals является его потенциальное влияние на децентрализацию. Поскольку блоки становятся больше, требования к хранению данных на узлах возрастают, что лишает мелкие узлы стимула оставаться в сети.

Конечно, протокол может быть усовершенствован, чтобы позволить узлам отсеивать эти транзакции. Однако блокчейн полагается на то, что все его узлы согласуют состояние сети, и отсеивание определенных блоков или транзакций может быть воспринято как цензура.

Действительно ли Mordinals так плохи?

Monero, в отличие от Bitcoin, имеет динамический размер блока, и заявления о том, что мординалы могут спровоцировать аномальное расширение блокчейна, вызывают обоснованное беспокойство в сообществе Monero.

Вице-президент Cake Wallet Джастин Эренхофер на своей странице в Твиттере заявил, что сообщество Monero должно предпринять шаги по ограничению определенного поведения, как это было сделано в отношении других рисков в отношении конфиденциальности и функциональности.

«Сеть Monero сильна, потому что конфиденциальность, безопасность и эффективность XMR ставятся на первое место. Все остальное должно прежде всего не противоречить этой цели», — заявил он.

Учитывая последствия, которые могут иметь Mordinals для конфиденциальности, он считает, что лучшим вариантом будет ограничение размера поля tx_extra в транзакциях Monero до 256 байт. Это может значительно повысить стоимость атак, связанных с наводнением сети фиктивными транзакциями, обеспечивая при этом гибкость для будущих вариантов использования.

«Некоторые держатели Monero рассматривают NFT как угрозу конфиденциальности», — сказал Cointelegraph Аполло Грид, генеральный директор компании QGlobe Games, которая помогает создавать игровые и NFT-проекты. «Другие признают его потенциальную ценность и считают, что конфиденциальность можно сохранить».

По словам Грида, у NFT с фокусом на конфиденциальность есть огромный потенциал в области защиты финансовых данных при продаже внутриигровых активов.

Существует также возможность использования Monero для хранения и продажи нелегального контента. Поскольку блокчейн ориентирован на конфиденциальность и не поддается цензуре, это может иметь определённые нежелательные последствия. Но реализовать на Monero можно было всегда, хотя до появления Mordinals это требовало некоторого технического опыта знания командной строки Monero.

Несомненно, NFT привлекли к себе много внимания. С момента появления Ordinals стоимость биткоина выросла почти вдвое и, хотя, несомненно, есть и другие факторы, влияющие на его цену, Ordinals значительно повысил активность в сети.

Какое будущее у Mordinals?

В упомянутой выше Твиттер-ветке Эренхофер заявил, что концепция Mordinals лежала на поверхности, успех Ordinals на Bitcoin и Litecoin лишь ускорил её имплементацию.

Дебаты о том, что делать с tx_extra, продолжаются уже несколько лет, и, похоже, сообщество, по крайней мере частично согласилось с идеей Эренхофера: с тех пор вышел патч, ограничивающий размер tx_extra до 1060 байт. Хотя это все еще в четыре раза больше, чем он предлагал, это все равно значительно усложняет атаку на сеть.

С одной стороны, tx_extra существует для обеспечения будущей совместимости с децентрализованными приложениями и другими блокчейнами. Альтернатива – удаление tx_extra и добавление специализированного поля, которым нельзя злоупотреблять — может погубить некоторые разрабатываемые проекты, например, готовящуюся Serai DEX, кросс-чейн децентрализованную биржу для Monero, Ethereum и Bitcoin.

Никто не знает, кто создал Mordinals, и есть теория, что весь проект – это уловка кого-то из сообщества Monero, чтобы пролоббировать удаление tx_extra. В одном из эпизодов подкаста Monero Talk член сообщества Ofrnxmr рассказал о сообщении, которое он увидел на форумах Monero Research Lab (MRL) от пользователя под ником «Tx_extra» в конце 2022 года.

Пользователь предложил удалить поле tx_extra из транзакций Monero, а когда никто к нему не прислушался и не стал ничего предпринимать, он начал массово загружать файлы в Monero аналогично тому, как работает Mordinals. Когда этого пользователя попросили остановиться, он снова поднял тему удаления поля tx_extra.

Даже если эта теория верна, полностью запретить пользователям хранить произвольные данные на блокчейне никогда не удастся.

Так, исследование 2017 года, финансируемое Федеральным министерством образования и исследований Германии, показывает, как биткоин использовался для хранения незаконного контента и обмена вредоносным кодом задолго до появления ординалов

Когда был запущен проект Ordinals, Родармор писал о двух ключевых аспектах, необходимых для процветания NFT на биткоине: проверка подлинности и рынки сбыта. Проверка подлинности — это возможность определить, кому принадлежит вписанный актив, а рынки – это необходимые площадки для покупки и продажи NFT.

Эти функции противоречат принципам анонимности и децентрализации, которым придерживается Monero. Некоторые члены сообщества хотели бы, чтобы Monero конкурировала с Bitcoin и Ethereum во всех областях, но до тех пор, пока NFT и Mordinals противоречат тому основным ценностям Monero, они вряд ли получат большую популярность и признания без внедрения серьезных дополнительных полезных функций.

Источник: Cointelegraph.

Читайте также:

• Lightning Labs выкатила обновление, которое решит проблему перегрузки сети Bitcoin BRC-20 токенами

• DOGE обошёл BTC: новые DRC-20 токены вызвали небывалый всплеск активности в Dogecoin

• Litecoin оставил биткоин и Эфир позади, показав за неделю двузначный рост