新型加密僵尸網絡濫用比特幣區塊鏈交易作為 C2 備份機制

Akamai的安全專家發現了一個新的僵尸網絡，該僵尸網絡用于非法加密貨幣挖掘活動，這些活動濫用比特幣（BTC）交易來實施C2的備份機制。

該技術使僵尸網絡運營商可以使其基礎架構具有抵御執法行為的能力。

“來自已知的加密采礦僵尸網絡活動的惡意軟件已經開始利用比特幣區塊鏈交易來隱藏其備用C2 IP地址。這是一種簡單而有效的方法，可以挫敗攻擊企圖。” 閱讀Akamai發表的帖子。“最近針對Akamai SIRT的定制蜜罐的感染嘗試發現了一種混淆命令和控制（C2）基礎結構信息的有趣方法。長期運行的加密采礦僵尸網絡活動的運營商開始創造性地偽裝其在比特幣區塊鏈上的備用C2 IP地址。”

感染鏈開始利用影響Hadoop Yarn，Elasticsearch（CVE-2015-1427）和ThinkPHP（CVE-2019-9082）的遠程代碼執行（RCE）漏洞。

僵尸網絡運營商使用Redis服務器掃描程序來查找可能被盜用加密貨幣的安裝。

專家估計，自2018年以來，僵尸網絡運營商已在Monero的公共池中開采了超過30,000美元。專家在一段時間內使用不同的技術和工具識別了多種變體。

較舊的版本使用Shell腳本執行主要功能，例如禁用安全功能，阻止競爭性感染，建立持久性，并在某些情況下在受感染的網絡中傳播。

Shell腳本的更新版本利用二進制有效負載來處理更多的系統交互，例如消除競爭，禁用安全功能，修改SSH密鑰，下載并啟動礦工。

僵尸網絡運營商使用cron作業和rootkit來實現持久性并使用最新版本的惡意軟件重新感染。

這些方法依賴于寫入crontab和配置的域和靜態IP地址。可以預見地，這些域和IP地址會被識別，刻錄和/或占用。該活動的運營商對此表示期望，并包括備份基礎架構，在該基礎架構中，感染可能會進行故障轉移并下載更新的感染，從而更新受感染的計算機，以使用新的域和基礎架構。” 繼續報告。*

“盡管這項技術有效，但同時針對目標域和故障轉移IP地址/基礎架構的協調拆除工作可以有效地使運營商擺脫在受感染系統上的立足之地。”

2020年12月，研究人員發現了礦工新版本中包含的BTC錢包地址，以及用于錢包檢查API和bash單線的URL。專家發現，錢包數據已由API提取，并用于計算用于保持持久性的IP地址。

通過通過錢包API獲取地址，僵尸網絡操作員能夠混淆和備份區塊鏈上的配置數據。

專家注意到，通過將少量BTC放入錢包中，操作員可以恢復被孤立的受感染系統。

“基本上，感染是將錢包地址用作DNS之類的記錄，而將交易值用作A記錄的類型。變量aa包含比特幣錢包地址，變量bb包含API端點，該端點返回用于生成IP地址的最新兩次交易，變量cc包含轉換過程完成后的最終C2 IP地址。” 繼續報告。“為了實現這種轉換，將四個嵌套的Bash單層（每個八位字節一個）串聯在一起。”*

專家認為，可以改進該技術，以避免向僵尸網絡開發人員提供指示和反饋。

“采用這種技術可能會帶來很大的問題，并且在不久的將來可能會越來越受歡迎。” 總結報告。