僵尸網(wǎng)絡(luò)利用比特幣區(qū)塊鏈來(lái)隱藏惡意活動(dòng)
根據(jù)Akamai 的最新研究發(fā)現(xiàn),有加密貨幣挖礦僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者利用比特幣區(qū)塊鏈的交易來(lái)隱藏備份的C2 服務(wù)器地址,并繞過(guò)了對(duì)僵尸網(wǎng)絡(luò)的分析。
僵尸網(wǎng)絡(luò)利用C2 服務(wù)器來(lái)從攻擊者處接收命令。執(zhí)法機(jī)構(gòu)和安全研究人員也在不斷地發(fā)現(xiàn)和取締這些C2 服務(wù)器以達(dá)到破壞僵尸網(wǎng)絡(luò)的目的。但是一般僵尸網(wǎng)絡(luò)都會(huì)有備份的C2 地址,這使得破壞僵尸網(wǎng)絡(luò)非常的困難。
Akamai分析發(fā)現(xiàn),該僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者通過(guò)區(qū)塊鏈來(lái)隱藏備份的C2 IP地址。攻擊鏈?zhǔn)菑挠绊慔adoop Yarn 和Elasticsearch的遠(yuǎn)程代碼執(zhí)行漏洞CVE-2015-1427 和 CVE-2019-9082 開(kāi)始的。在一些攻擊活動(dòng)中,遠(yuǎn)程代碼執(zhí)行漏洞被利用來(lái)創(chuàng)建Redis 服務(wù)器的掃描器來(lái)找出其他可以用于加密貨幣挖礦的Redis 目標(biāo)。
然后在有漏洞的系統(tǒng)上部署一個(gè)shell 腳本來(lái)觸發(fā)RCE 漏洞,此外還會(huì)部署Skidmap 挖礦惡意軟件。該腳本可能還會(huì)kill 現(xiàn)有的挖礦機(jī),修改SSH key,禁用安全特征。然后利用Cron job和 rootkit來(lái)實(shí)現(xiàn)駐留,并進(jìn)一步分發(fā)惡意軟件。為了維持和實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的重感染,使用了域名和靜態(tài)IP 地址,安全研究人員就是去識(shí)別和發(fā)現(xiàn)這些地址。僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者考慮到域名和IP 地址可能會(huì)被識(shí)別和取締,因此使用了備份基礎(chǔ)設(shè)施。
2020年12月,Akamai 研究人員發(fā)現(xiàn)一個(gè)加密貨幣挖礦惡意軟件變種中包含一個(gè)BTC 錢包地址。此外,還發(fā)現(xiàn)了一個(gè)錢包地址API的 URL,研究人員分析發(fā)現(xiàn)該API 取回的錢包數(shù)據(jù)可能被用來(lái)計(jì)算IP 地址。然后該IP 地址會(huì)被用來(lái)實(shí)現(xiàn)駐留。研究人員稱通過(guò)錢包API 取回地址后,惡意軟件的運(yùn)營(yíng)者能夠混淆和隱藏區(qū)塊鏈上的配置數(shù)據(jù)。
只需要將少量的比特幣放到比特幣錢包中,就可以恢復(fù)受破壞的僵尸網(wǎng)絡(luò)系統(tǒng)。研究人員稱攻擊者設(shè)計(jì)了一種非常有效、不會(huì)被發(fā)現(xiàn)和被抓的配置信息分發(fā)方法。
為將錢包數(shù)據(jù)轉(zhuǎn)化為IP 地址,僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者使用了4個(gè)bash 腳本來(lái)發(fā)送到給定錢包地址的HTTP 請(qǐng)求到區(qū)塊鏈瀏覽器API,然后最近的2個(gè)交易的聰值就會(huì)轉(zhuǎn)化為備份C2 IP地址。
感染使用錢包地址作為類DNS 記錄,交易值是A 記錄類型。如下圖所示,變量aa中包含有比特幣錢包地址,變量bb 中含有返回最近2個(gè)交易的API,最近的2個(gè)交易會(huì)被用來(lái)生成IP 地址,變量cc含有最終生成的C2 IP地址。
實(shí)現(xiàn)這一轉(zhuǎn)換的bash腳本如下:
將交易的聰值轉(zhuǎn)化為C2 IP地址的bash 腳本示例
Akamai預(yù)計(jì)該僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者已經(jīng)挖到了價(jià)值3萬(wàn)美元的門羅幣。研究人員分析稱,該技術(shù)的原理和應(yīng)用都非常簡(jiǎn)單,另外應(yīng)用后難以檢測(cè),因此未來(lái)可能會(huì)非常流行。
完整技術(shù)分析參見(jiàn):https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html
本文翻譯自:https://www.zdnet.com/article/this-botnet-is-abusing-bitcoin-blockchains-to-stay-in-the-shadows/
