根據Akamai 的最新研究發現,有(yǒu)加密貨币挖礦僵屍網絡運營者利用比特币區(qū)塊鏈的交易來(lái)隐藏備份的C2 服務器(qì)地址,并繞過了對僵屍網絡的分析。
僵屍網絡利用C2 服務器(qì)來(lái)從攻擊者處接收命令。執法機構和(hé)安全研究人(rén)員也在不斷地發現和(hé)取締這些(xiē)C2 服務器(qì)以達到破壞僵屍網絡的目的。但(dàn)是一般僵屍網絡都會(huì)有(yǒu)備份的C2 地址,這使得(de)破壞僵屍網絡非常的困難。
Akamai分析發現,該僵屍網絡的運營者通(tōng)過區(qū)塊鏈來(lái)隐藏備份的C2 IP地址。攻擊鏈是從影(yǐng)響Hadoop Yarn 和(hé)Elasticsearch的遠程代碼執行(xíng)漏洞CVE-2015-1427 和(hé) CVE-2019-9082 開(kāi)始的。在一些(xiē)攻擊活動中,遠程代碼執行(xíng)漏洞被利用來(lái)創建Redis 服務器(qì)的掃描器(qì)來(lái)找出其他可(kě)以用于加密貨币挖礦的Redis 目标。
然後在有(yǒu)漏洞的系統上(shàng)部署一個(gè)shell 腳本來(lái)觸發RCE 漏洞,此外還(hái)會(huì)部署Skidmap 挖礦惡意軟件。該腳本可(kě)能還(hái)會(huì)kill 現有(yǒu)的挖礦機,修改SSH key,禁用安全特征。然後利用Cron job和(hé) rootkit來(lái)實現駐留,并進一步分發惡意軟件。為(wèi)了維持和(hé)實現對目标系統的重感染,使用了域名和(hé)靜态IP 地址,安全研究人(rén)員就是去識别和(hé)發現這些(xiē)地址。僵屍網絡運營者考慮到域名和(hé)IP 地址可(kě)能會(huì)被識别和(hé)取締,因此使用了備份基礎設施。
2020年12月,Akamai 研究人(rén)員發現一個(gè)加密貨币挖礦惡意軟件變種中包含一個(gè)BTC 錢(qián)包地址。此外,還(hái)發現了一個(gè)錢(qián)包地址API的 URL,研究人(rén)員分析發現該API 取回的錢(qián)包數(shù)據可(kě)能被用來(lái)計(jì)算(suàn)IP 地址。然後該IP 地址會(huì)被用來(lái)實現駐留。研究人(rén)員稱通(tōng)過錢(qián)包API 取回地址後,惡意軟件的運營者能夠混淆和(hé)隐藏區(qū)塊鏈上(shàng)的配置數(shù)據。
隻需要将少(shǎo)量的比特币放到比特币錢(qián)包中,就可(kě)以恢複受破壞的僵屍網絡系統。研究人(rén)員稱攻擊者設計(jì)了一種非常有(yǒu)效、不會(huì)被發現和(hé)被抓的配置信息分發方法。
為(wèi)将錢(qián)包數(shù)據轉化為(wèi)IP 地址,僵屍網絡運營者使用了4個(gè)bash 腳本來(lái)發送到給定錢(qián)包地址的HTTP 請(qǐng)求到區(qū)塊鏈浏覽器(qì)API,然後最近的2個(gè)交易的聰值就會(huì)轉化為(wèi)備份C2 IP地址。
感染使用錢(qián)包地址作(zuò)為(wèi)類DNS 記錄,交易值是A 記錄類型。如下圖所示,變量aa中包含有(yǒu)比特币錢(qián)包地址,變量bb 中含有(yǒu)返回最近2個(gè)交易的API,最近的2個(gè)交易會(huì)被用來(lái)生(shēng)成IP 地址,變量cc含有(yǒu)最終生(shēng)成的C2 IP地址。
實現這一轉換的bash腳本如下:
将交易的聰值轉化為(wèi)C2 IP地址的bash 腳本示例
Akamai預計(jì)該僵屍網絡運營者已經挖到了價值3萬美元的門(mén)羅币。研究人(rén)員分析稱,該技(jì)術(shù)的原理(lǐ)和(hé)應用都非常簡單,另外應用後難以檢測,因此未來(lái)可(kě)能會(huì)非常流行(xíng)。
轉自嘶吼網/ang010ela
完整技(jì)術(shù)分析參見:https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html
4000-110-253
