Как найти связку или причём тут BGP в крипто каналах?

Дрей­неры — новая связка в мире крип­товалют. Она рас­тет удар­ными тем­пами и уже обо­шла программы-шифровальщики по рас­простра­нен­ности и объ­ёмам транзакций. Попытаемся разоб­рать­ся в осо­бен­ностях работы дрей­неров, а так­же устрой­стве вырос­шей вок­руг них инфраструктуры. Об этом сегод­ня и погово­рим.

Глав­ная владельца любой связки — это убедить поль­зовате­ля сде­лать так, что­бы тот выдал информа­цию, которую он выдавать пос­торон­ним и не дол­жен. В слу­чае с дрей­нерами — убедить поль­зовате­ля дать смарт‑кон­трак­ту раз­решение вза­имо­дей­ство­вать со его средс­тва­ми.

Как и с кем или чем работают связки с дрейнераи

Пред­ставь, что хочешь ты под­клю­чить свой кошелек MetaMask на сай­те какого‑ниудь про­екта, что­бы получить нем­ного крип­ты. Ска­жем, ты хочешь при­обрести новый токен, пока он дёшев. нажима­ешь кноп­ку Connect, вво­дишь свой пароль и под­писыва­ешь тран­закцию — одобрение на дос­туп к кошель­ку.

Тут‑то тебя и ловит дрей­нер: дела­ет так, что­бы вмес­то легитим­ного кон­трак­та на получе­ние токенов ты под­писал кастомный смарт‑кон­тракт и тем самым дал раз­решение на тран­сфер всех сво­их криптовалютных средств. Получа­ется, ты сам сог­лаша­ешь­ся отдать все свои день­ги владельцу связки.

Как так может получить­ся? Луч­ше все­го это работа­ет на эйрдро­пах — раз­дачах новых токенов. На них сле­тает­ся мно­жес­тво жела­ющих получить нем­ного крип­ты, которая потом может вырас­ти в цене в десят­ки раз. Такие раз­дачи дей­стви­тель­но иног­да устра­ивают грамотные люди, что­бы про­качать тот или иной свой новый токен. В этот момент поль­зовате­ля гонит то, что называ­ется FOMO, — чувс­тво, что он может упус­тить выгоду.

Мамонт в спеш­ке может и не про­верить, кем соз­дана стра­ница, с которой он вза­имо­дей­ству­ет, и что кон­крет­но дела­ет смарт‑кон­тракт, раз­решение которо­му он выда­ет. Сайт же при этом может быть пол­ностью ско­пиро­ван владельцем связки с нас­тояще­го, а смарт‑кон­тракт — забирать день­ги вмес­то того, что­бы их отдавать.

ДРЕЙНЕРЫ НАБИРАЮТ ОБОРОТ

В прошлом году слу­чилось инте­рес­ное событие: дрей­неры обог­нали по тем­пам рас­простра­нения и выруч­ке обыч­ные шиф­роваль­щики. Программы-вымогатели, конеч­но, про­дол­жает быть бичом круп­ного биз­неса, но тимлиды площадок устре­мились в новые, пока ещё свободные ниши.

Са­мые пер­вые дрей­неры рас­простра­нялись в качес­тве скрип­тов на дар­кнет пло­щад­ках. По дан­ным «Лабора­тории Кас­пер­ско­го», в позапрошлом году было 55 уни­каль­ных форумов, на которых встре­чались дрей­неры. В прошлом году таких мес­течек уже было 129. То есть рост более чем в два раза за два года.

Рост уникальных веток про дрейнеры на площадках в даркнете

И это толь­ко для такого спе­цифи­чес­кого и пус­товато­го, по сути, мес­та, как дар­квеб. В основном все вза­имо­дей­ствие сей­час про­исхо­дит в Telegram и Discord.

Са­мые круп­ные дрей­неры, которые были активны в прошлом году, — это Angel, Inferno, Ping, Ace, Cerberus, Nova, Medusa, MS, CryptoGrab и Venom. Из них сей­час активны в основном Angel и Ace, но зато появил­ся новый игрок — Vanilla. Пока он не очень иссле­дован, пос­коль­ку работа­ет по при­ват­ной модели: получить дос­туп к нему рядово­му трейдеру сложно.

По дан­ным ком­пании Scam Sniffer, которая занима­ется ана­лизом транзакций в сетях крип­товалю­т, за прошлый год общие потери от дрей­неров сос­тавили 494 мил­лиона дол­ларов.

Объёмы выручки от реализации связки с дрейнерами за прошедшие годы

И это толь­ко круп­ные кей­сы по реализации связки, которые уда­лось пос­читать! Пос­коль­ку дрей­неры нап­равле­ны на обыч­ных поль­зовате­лей, мелкие транзакции вро­де нес­коль­ких тысяч дол­ларов в эту ста­тис­тику даже не попада­ют. Так что это лишь ниж­няя гра­ница.

Сре­ди боль­ших ком­паний в прошлом году — более 330 тысяч мамонтов. Рекор­дная транзакция за тот год — 55 мил­лионов дол­ларов. Все­го круп­ных кам­паний с использованием связки дрейнеров было око­ло 30 — в пол­тора раза боль­ше, чем в позапрошлом году.

В пер­вом квар­тале прошлого года дрей­неры показа­ли рост поч­ти в шесть раз. В то же вре­мя рынок ран­сомва­ри уве­личил­ся толь­ко вдвое.

Темпы роста транзакций связки дрейнеров по сравнению с рансомварью

Что озна­чают эти циф­ры? Из‑за прос­тоты вхо­да в эту индус­трию сюда устрем­ляют­ся тимлиды и процессоры с инкассаторами, которые занима­лись рассылкой спама, замани­вая мамонтов на кастомные площадки и под­дель­ные стра­ницы бан­ков, и про­мыш­ляли про­чими тра­дици­онны­ми видами ска­ма.

Нап­равив свои навыки на крип­товалют­чиков, они смог­ли получить безум­ные про­фиты. Даже рядовой работя­га здесь может «зараба­тывать» от 100 000 дол­ларов в месяц. Ка­жет­ся, что пара месяцев такого тру­да могут обес­печить квар­тирой, машиной и регуляр­ным отпуском в Таилан­де. Разок рис­кнул, и мож­но выходить из игры! Но, конеч­но, почувс­тво­вав вкус наживы, ник­то через два месяца из это­го биз­неса никто не ухо­дит.

ПОЧЕМУ ЭТО ПРОСТО

Ес­ли ран­сомварь нацеле­на в пер­вую оче­редь на ком­пании, то дрей­неры работают с прос­тым поль­зовате­лем и потен­циаль­но могут дотянуть­ся до любого, кто вза­имо­дей­ству­ет с крип­товалю­тами. Дрей­неры ста­ли очень популяр­ными имен­но из‑за широко­го охва­та и прос­тоты перехо­да в эту сферу. Плюс ска­зыва­ется, что в крип­те вер­тятся серь­езные день­ги и поль­зовате­ли при­вык­ли ими лег­ко рас­поряжать­ся.

Ран­сомвар­щику при­ходит­ся свя­зывать­ся с ком­пани­ей, тор­говать­ся, орга­низо­вывать переда­чу денег и рас­шифров­ку — это доволь­но муторно. Дрей­нер же забирает день­ги сра­зу. Как и мно­гие дру­гие виды ска­ма, дрей­неры рас­простра­няют­ся по модели SaaS — Software-as-a-Service. Их даже называ­ют DaaS, то есть Drainer-as-a-Service.

Про­исхо­дит и харак­терное раз­деление работы. Есть раз­работ­чики (те, кто дела­ет мал­варь) и вокеры (рядовые работ­ники), а так­же рек­рутеры, спе­циалис­ты по нагону тра­фика и пос­тавщи­ки самых раз­ных сопутс­тву­ющих услуг. Глав­ную задачу, конеч­но, выпол­няют раз­работ­чики: они соз­дают кастотмное программное обеспечение, дела­ют его более удоб­ным для исполь­зования, лег­ким в раз­верты­вании и мас­шта­биро­вании. В целом, если отвлечь­ся от его сущности - это обыч­ный ИТ‑про­дукт.

КАК СОЗДАЕТСЯ КАМПАНИЯ

Что дела­ет тимлид площадки, что­бы такое про­вер­нуть? Вот что ему нуж­но, что­бы устро­ить фишин­говую кам­панию:

• до­мены для будущих сай­тов, похожие по написа­нию на наз­вание копиру­емо­го про­екта;
• хос­тинг — мес­то, где будет помещен сайт;
• лен­динг — стра­ница, похожая на легитим­ный про­ект;
• код дрей­нера (как пра­вило, это JS-код, который будет хра­нить­ся на сай­те);
  па­нель управле­ния, которая поз­волит знать, сколь­ко поль­зовате­лей уда­лось заманить на стра­ницу, и отсле­живать их поведе­ние;
• средс­тва собс­твен­ной безопас­ности: VPN, Proxy, SockPuppet-акка­унты.

Про­фес­сиональ­ные тимлиды обыч­но ста­вят пол­ноцен­ный C&C-сер­вер на площадке, поз­воля­ющий кон­тро­лиро­вать поведе­ние дрей­нера.

НАГОН ТРАФИКА

Все крупные сети и особенно сети провайдеров строятся на одном протоколе — BGP. Рассмотрим с технической стороны один из главных недостатков BGP: полное отсутствие проверки полученных маршрутов. Из-за этого возможна уязвимость, которая называется route leak или «утечка маршрутов».

Сам по себе BGP никак не защищен от воздействий извне. Eжедневно происходят десятки и сотни случаев утечки маршрутов, и сказать наверняка, была это спланированная атака или ошибка в конфигурации, невозможно. Часть трафика попадает из сетей магистральных провайдеров в неизвестность.

Ты легко сможешь найти ботов и сайты, на которых частенько всплывают сообщения о route leaking или hijacking.

Route leaks чаще случаются из-за ошибки в конфигурации, неверной либо полностью отсутствующей фильтрации на стыке с вышестоящим провайдером. Подразумевается, что route leaking — это транзитное перенаправление трафика через сторонние автономные системы, hijacking — анонсирование чужих префиксов из AS (Autonomous System), которым он не должен принадлежать.

чем опасен route leak?

Route leaking и hijacking вызывают неприятности: иногда это задержки, а порой и атаки DOS или MITM.

Чтобы разобраться, как возникает route leak, необходимо понять основные механизмы работы BGP, поскольку утечка вызывается без каких-либо дополнительных манипуляций.

BGP использует номера автономных систем, и по этому критерию выделяют iBGP и eBGP. Разница в том, что iBGP (internal) работает в пределах одной автономной системы, eBGP (external) — между разными. Сейчас нас интересует eBGP: route leak происходит из-за неверных настроек между пирами eBGP.

предотвращение петель маршрутизации

Для предотвращения петель маршрутизации пиры BGP проверяют атрибут AS PATH. Если в AS PATH есть собственный номер AS — роутер его отбрасывает. Это и есть петля.

Для пиров eBGP действует правило: при получении сообщения UPDATE, в котором хранится информация о маршрутах, следует передать сообщение всем пирам BGP. Для пиров iBGP номер AS не меняется, сообщение UPDATE не передается другим пирам. Это стандартный механизм.

выбор наилучшего пути

BGP использует алгоритм из нескольких шагов (от десяти до тринадцати). В зависимости от вендора и информации о доступности сетей через несколько источников протокол выбирает только один путь, помещает его в локальную таблицу маршрутизации и передает своим пирам.

Есть много способов повлиять на этот выбор. Сейчас мы остановимся на атрибуте AS PATH. Он состоит из последовательности номеров, каждая автономная система добавляет в поле UPDATE сообщения номер своей AS в порядке очереди.

В этом примере роутер выберет второй путь

При прочих равных путь через этот источник короче. Этот процесс можно сравнить с платной дорогой. Представь, что до твоего места назначения две дороги: на одной три пункта оплаты проезда, на второй два, цены на обоих одинаковы.

Его ещё можно было получить через RIPE NCC до 2022 года достаточно просто

Отсюда вытекает процесс route leak — эффект бабочки: чистый BGP без фильтров может быть крайне опасен и нарушить оптимальные пути трафика.

практика

R1 и R4 выступают в качестве пограничных провайдерских роутеров, оба маршрутизатора анонсируют сети 192.168.0.0/24 и 172.16.0.0/24 соответственно из своих AS 1 и AS 2. У каждого провайдера есть договоренность с магистральными провайдерами (R2 и R3) о том, что R1 и R4 будут перегонять трафик через них, а AS 2 и AS 3 обеспечат нужную пропускную способность, надежность и защиту.

Зеленым цветом обозначен оптимальный со стороны провайдера путь трафика, красным — трафик, который пройдет через стороннюю AS, вызвав эффект route leak

Мы подключим в эту схему провайдера R5. Теперь мы можем, изменив длину AS path, стать транзитной AS для трафика между AS 1 и AS 2, пропустить через себя весь транзитный трафик, имея доступ только к R5. R1 и R4 настроили пиринг до адресов 10.0.0.2 и 20.0.0.2 соответственно.

Классический случай для route leaking. Новая автономная система имеет как минимум два пира с разными AS: route leak подразумевает возможность транзита любого трафика.

настраиваем пиринг с провайдерами

Вот так выглядит конфигурация R1 и R4

Проверяем таблицу маршрутизации от R1 до сетей R4:

Оба маршрутизатора уже получают маршруты по BGP

Переходим к конфигурации с R5:

Соседство с AS 1 устанавливаем через интерфейс eth 0/0

Получаем маршруты от провайдера R1 и переходим к конфигурации с провайдером R4.

Соседство с AS 4 устанавливаем через интерфейс eth 0/1

Аналогичным образом, получив таблицу маршрутов от провайдера R4, R5 запустил свой расчет и посчитал, как быстрее всего добираться до каждой сети в нашем при мере.

Маршрутизаторы R1 и R4, которые выступают в нашем при мере в качестве провайдеров, тоже получили сообщения UPDATE от маршрутизатора R5. Запустили алгоритм выбора лучшего маршрута в BGP (BGP best path selection) и добавили маршрут R1 — R5 — R4 как лучший в свою локальную таблицу маршрутизации.

Так мы стали транзитным провайдером для трафика из сетей 192.168.0.0 и 172.16.0.0

Мы видим следующее:

Видим, что весь трафик тепер идет через AS 5

На первый взгляд, не произошло ничего необычного, стандартный алгоритм работы BGP. Но никто не хочет, что бы его трафик шел через какие-то сторонние мелкие AS, не предоставляющие услуги IP-транзита или не являющиеся точками обмена трафиком (IXP).

Всплывает ряд проблем: uplink до провайдеров может не справиться с пропускной способностью, возникнут задержки, трафик может быть перехвачен и зазеркален.

Что бы предотвратить такие ситуации, провайдеры должны настраивать community или фильтры ip prefix list для контроля за получением и отдачей трафика. Но потери или угон трафика все равно случаются.

BGP HIJACKING

В случае BGP hijacking нам необязательно быть транзитной AS, от нас требуется просто анонсировать из своей AS чужие сети.

Анонс сети 192.168.0.0/24 и AS 7 с роутера

Теперь ближайшие AS примут наш UPDATE и станут пересылать трафик в нашу автономную систему. Мы получим доступ до всего трафика, адреса назначения которого находятся в сети 192.168.0.0/24. Однако, сети провайдера защищены от хайджекинга, они просто не принимают маршруты, маска которых больше /25.

Мы рассмотрели route leak и hijacking на очень скромном примере, однако и в глобальных сетях мировых магистральных провайдеров похожее про исходит чуть ли не ежедневно.

И ЧТО ЭТО ДАЁТ МНЕ?

Использование BGP route leaking для нагона трафика на связку с дрейнерами выглядит весьма выгодным направлением работы тимлидов, перешедших в тему с площадок процессинга.

На некоторых форумах даркнета уже появились ветки с услугами BGP Hijack as a Service, но там работают только с проверенными людьми и с надёжной репутацией. Нужен SSL сертификат от любого сайта или криптомоста? Это тоже уже не проблема, в рамках предоставления услуги BGP Hijack as a Service легко решаются и такие вопросы.