根据Akamai 的最新研究发现,加密货币挖掘僵尸 *** 运营商使用比特币区块链交易来隐藏备份C2 服务器地址,并绕过对僵尸 *** 的分析。
使用僵尸 *** C2 服务器来从攻击者处接收命令。执法机构和安全研究人员也在不断地发现和取缔这些C2 服务器旨在破坏僵尸 *** 。但僵尸 *** 通常会有备份C2 地址,这使得很难破坏僵尸 *** 。
Akamai分析发现,僵尸 *** 的运营商通过区块链隐藏备份C2 IP地址Hadoop Yarn 和Elasticsearch远程代码执行漏洞CVE-2015-1427 和 CVE-2019-9082 开始了。利用远程代码执行漏洞在一些攻击活动中创建Redis 服务器扫描器找到其他可用于加密货币挖掘的扫描器Redis 目标。
然后在有漏洞的系统上部署一个shell 脚本来触发RCE 此外,还将部署漏洞Skidmap 挖掘恶意软件。脚本也可能kill 对现有挖掘机进行修改SSH key,禁止使用安全特征。Cron job和 rootkit来实现驻留,并进一步分发恶意软件。为了维持和实现对目标系统的重感染,使用了域名和静态IP 地址,安全研究人员正在识别和发现这些地址。考虑到域名和IP 使用备份基础设施可以识别和禁止地址。
2020年12月,Akamai 研究人员在加密货币挖掘恶意软件变种中发现了一个 *** C 钱包地址。此外,还发现了钱包地址API的 URL,研究人员发现了这一点API 取回的钱包数据可用于计算IP 地址。然后是IP 地址将用于实现居留。研究人员说,钱包是通过的API 取回地址后,恶意软件运营商可以混淆和隐藏区块链上的配置数据。
只需将少量比特币放入比特币钱包即可恢复受损的僵尸 *** 系统。研究人员表示,攻击者设计了一种非常有效的配置信息分发 *** ,不会被发现和捕获。
将钱包数据转换为IP 僵尸 *** 运营商使用4个地址bash 脚本发送到给定的钱包地址HTTP 请求区块链浏览器API,然后,最近两笔交易的聪明值将转化为备份C2 IP地址。
感染使用钱包地址作为类别DNS 记录,交易值是A 记录类型。如下图所示,变量aa它包含比特币钱包地址,变量bb 包含最近两笔交易的回报API,最近的两笔交易将被用来生成IP 地址,变量cc包含最终生成C2 IP地址。
实现这一转换bash脚本如下:
将交易的聪值转化为C2 IP地址的bash 脚本示例
Akamai僵尸 *** 运营商有望挖掘出价值3万美元的门罗币。研究人员表示,该技术的原理和应用非常简单,应用后难以检测,因此在未来可能非常流行。
参见完整技术分析:https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html
本文翻译自:https://www.zdnet.com/article/this-botnet-is-abusing-bitcoin-blockchains-to-stay-in-the-shadows/