黑客如何偷矿工数字货币开源情报

Posted 2020-10-12 MS016 小组

MS016翻译 文章来源 Twitter: @s3yfullah

注：提供的所有的方法请勿恶意使用

开源情报（OSINT）是在攻击之前收集信息的技术之一。
已经有很多黑客使用OSINT。随着物联网设备的发展，
我们可以在公共网络上收集大量的关键数据。我们将收集关键数据的数字货币矿工（比特币[蚂蚁币 ]和以太币[Claymore] ）
在这篇文章中

许多数字货币矿工的工具和软件需要互联网连接发送/接收数据。所以，他们遭受一些漏洞攻击者

侦查识别蚂蚁矿机 

最好的比特币ASIC矿机 AntMiner S9、S7。矿机的硬件使用lighttpd / 1.4.32”Web服务器和一些开放的端口。
这是一个利用“Lighttpd 1.4.31”版本。然而，你不能访问这个漏洞的服务器。

Web服务器上的网页受到“摘要HTTP身份验证”的保护。关键的一点是矿工需要用户名和密码才能登录。

 

蚂蚁矿机配置页使用“身份验证”

众所周知，我们需要一些信息或关键词收集OSINT技术数据。信息的关键词包括“HTTP头，我每次发送一个请求给蚂蚁矿机服务器”

我在censys和shodan结合一些具体的案例和收集的IP地址

系统可以通过对HTTP端口或SSH端口的暴力破解来访问。

 

 

首先，我需要知道默认HTTP用户名和密码。之后，我在谷歌上搜索“蚂蚁矿机默认密码”，发现了一个网站，包括用户指南。

AntMiner User Manuel 关键词我们可以搜索到 

在本教程中，我宁愿用hydra暴力破解（bruteforcing HTTP摘要认证）爆破的最常见的10个密码。你也可以使用Burp Suite 爆破。

如果你幸运的话，你可以访问配置页。

 

 

蚂蚁矿机配置页面

攻击者可以按需要编辑页面。

Claymore矿工软件

另一种类型的攻击也针对Claymore矿工软件（如蚂蚁，以太访，zcash）
我对一上面的矿工软件 利用shodan做了一个搜索。

 

你可以把一些JSON数据包API来远程管理服务器的。

在这里，我们控制GPU（禁用，双模式等）或编辑config.txt与发送一些命令改变池的钱包地址。

我们将把“miner_restart”或“control_gpu”命令来检测它是否为只读或读/写。我用数控送在MacOS JSON的命令。
首先，我们尝试用“miner_getstat1”命令

 

之后，我们尝试发送命令“control_gpu”来检测是否是只读或读/写。

我们收到一个错误的代码发送以下。

 

矿工服务器只有只读模式。

当我尝试一个不同的IP时，我成功地重启了系统。这表明，Claymore远程管理API允许你读/写。

Claymore也允许你使用JSON格式编辑配置文件（发送JSON文件）。但是，您可以编辑容易使用Claymore可以改变池的钱包地址。

幻想：
我没有尝试命令注射对发送JSON命令Claymore软件。如果它有漏洞，您可以在没有读写权限的情况下访问服务器。
你可以提高收集海量数据OSINT搜索技术
你甚至可以破坏所有的GPU通过控制风扇后编辑config.txt：）

Twitter: @s3yfullah

原文链接：https://medium.com/@s3yfullah/hacking-cryptocurrency-miners-with-osint-techniques-677bbb3e0157

视频地址：https://youtu.be/zBjVjmt7oPs