比特币蚂蚁矿机Antminer存在Antbleed后门

前言

固件随机每隔1到11分钟随机登录一次。每次登机传输Antminer序列号,MAC地址和IP地址。比特币挖矿硬件商Bitmain(比特大陆)可以使用此登记数据来交叉检查客户的销售和交货记录,使其成为个人身份。然后,远程服务返回“false”,阻止矿工采矿。

就是说当一台蚂蚁矿机在线运行时,每1-11分钟,它就会请求一次auth.minerlink.com这个域名的“7000端口服务”(持有者为比特大陆)。这个域名当前并没有连接到任何IP地址。但是,这个域名可能会在不久的将来连接到对应的IP地址。如果这种情况发生了,它会把这台蚂蚁矿机的序列号、MAC地址以及IP地址汇报给比特大陆。然后比特大陆就可以通过这台机器连接到特定的用户。比特大陆可以利用这个数据交叉核对客户的销售和交付记录,使其个人身份可被辨认。比特币矿业是一个小行业,所以应该很容易就能把矿机与对应的矿池或区块连接起来。一旦连接起来,比特大陆的服务器会连接这台蚂蚁矿机,并发送一个消息回来。如果该消息是“true”,那么这台机器会继续挖矿,但如果消息是“false”,就会关闭矿机停止挖矿。标准的防火墙入站规则无法防止这一后门,因为矿机使用的是出站连接。

已经有人在一台蚂蚁矿机上进行了测试,而且表示任何人都可以用蚂蚁矿机自行测试。

即使比特大陆并没有恶意的意图,但这也是一个巨大的安全漏洞。因为它使用的API没有身份验证,容易遭到中间人攻击、DNS 或域名劫持,被用于在全球范围内远程关闭矿机。受影响的蚂蚁矿机包括了 S9 系列、 L3、T9 和 R4 系列,如果矿机使用日期在 2016 年 7 月 11 日之后的固件,都有可能受到影响。最简单的保护方法是在 /etc/hosts 中将比特大陆的域名指向 127.0.0.1(127.0.0.1 auth.minerlink.com)。

补丁在这里(pastebin),可以在源代码中看到有问题的代码:here(github)

细节

这个固件后门允许Bitmain关闭大部分的全局哈希值(估计高达所有采矿设备的70%)。它也可用于直接针对特定机器或客户。标准入站防火墙规则不会因为Antminer进行出站连接而受到保护。

所有最近的S9硬件都受到影响,除了可能非常早期的一代S9。此外,L3,T9和R4系列硬件也可能受到影响。如果矿机使用日期在 2016 年 7 月 11 日之后的固件,都有可能受到影响。

可以通过SSH到Antminer来检查Antminer是否容易受到此攻击,并将设备上的/etc/hosts文件更改为:

139.59.36.141 auth.minerlink.com

这将导致Antminer连接到运行此代码的测试服务器,而不是默认的Bitmain服务器。如果你的矿机接收到的信息是”false”,它会在11分钟之内停止采矿,这时候你只能重启你的矿机,并在启动时进行连接。

确保Antminer不容易受到此后门的最简单的方法是将以下内容添加到设备上的/ etc / hosts中

127.0.0.1 auth.minerlink.com

这将导致Antminer连接到自己的本地计算机,而不会中断正常的采矿行为,而忽略了BitMain的检入。

这不是一个用户的功能,而是写入设备源文件的硬编码,矿机使用日期在 2016 年 7 月 11 日之后的固件除非购买安装新得固件,否则是没有办法改变它们的。

比特大陆则回应说:机器上运行的代码是开源的(github代码),每个人都可以查看它,所以它没有藏有秘密功能。这些代码指出的功能允许蚂蚁矿机持有者远程控制他们的矿机,这并不是一个秘密,同时,比特大陆无法远程控制非自有的蚂蚁矿机。

 

*来源:antbleed,MottoIN整理发布

原创文章,作者:SecNews,如若转载,请注明出处:http://www.mottoin.com/news/101515.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code