根據Akamai 的最新研究發(fā)現，有加密貨币挖礦僵屍網絡運營者利用比特币區塊鏈的交易來隐藏備份的C2 服務器地址，并繞過(guò)了對(duì)僵屍網絡的分析。

僵屍網絡利用C2 服務器來從攻擊者處接收命令。執法機構和安全研究人員也在不斷地發(fā)現和取締這(zhè)些C2 服務器以達到破壞僵屍網絡的目的。但是一般僵屍網絡都(dōu)會有備份的C2 地址，這(zhè)使得破壞僵屍網絡非常的困難。

Akamai分析發(fā)現，該僵屍網絡的運營者通過(guò)區塊鏈來隐藏備份的C2 IP地址。攻擊鏈是從影響Hadoop Yarn 和Elasticsearch的遠程代碼執行漏洞CVE-2015-1427 和 CVE-2019-9082 開(kāi)始的。在一些攻擊活動中，遠程代碼執行漏洞被利用來創建Redis 服務器的掃描器來找出其他可以用于加密貨币挖礦的Redis 目标。

然後(hòu)在有漏洞的系統上部署一個shell 腳本來觸發(fā)RCE 漏洞，此外還(hái)會部署Skidmap 挖礦惡意軟件。該腳本可能(néng)還(hái)會kill 現有的挖礦機，修改SSH key，禁用安全特征。然後(hòu)利用Cron job和 rootkit來實現駐留，并進(jìn)一步分發(fā)惡意軟件。爲了維持和實現對(duì)目标系統的重感染，使用了域名和靜态IP 地址，安全研究人員就是去識别和發(fā)現這(zhè)些地址。僵屍網絡運營者考慮到域名和IP 地址可能(néng)會被識别和取締，因此使用了備份基礎設施。

2020年12月，Akamai 研究人員發(fā)現一個加密貨币挖礦惡意軟件變種(zhǒng)中包含一個BTC 錢包地址。此外，還(hái)發(fā)現了一個錢包地址API的 URL，研究人員分析發(fā)現該API 取回的錢包數據可能(néng)被用來計算IP 地址。然後(hòu)該IP 地址會被用來實現駐留。研究人員稱通過(guò)錢包API 取回地址後(hòu)，惡意軟件的運營者能(néng)夠混淆和隐藏區塊鏈上的配置數據。

隻需要將(jiāng)少量的比特币放到比特币錢包中，就可以恢複受破壞的僵屍網絡系統。研究人員稱攻擊者設計了一種(zhǒng)非常有效、不會被發(fā)現和被抓的配置信息分發(fā)方法。

爲將(jiāng)錢包數據轉化爲IP 地址，僵屍網絡運營者使用了4個bash 腳本來發(fā)送到給定錢包地址的HTTP 請求到區塊鏈浏覽器API，然後(hòu)最近的2個交易的聰值就會轉化爲備份C2 IP地址。

感染使用錢包地址作爲類DNS 記錄，交易值是A 記錄類型。如下圖所示，變量aa中包含有比特币錢包地址，變量bb 中含有返回最近2個交易的API，最近的2個交易會被用來生成(chéng)IP 地址，變量cc含有最終生成(chéng)的C2 IP地址。

實現這(zhè)一轉換的bash腳本如下：

將(jiāng)交易的聰值轉化爲C2 IP地址的bash 腳本示例

Akamai預計該僵屍網絡運營者已經(jīng)挖到了價值3萬美元的門羅币。研究人員分析稱，該技術的原理和應用都(dōu)非常簡單，另外應用後(hòu)難以檢測，因此未來可能(néng)會非常流行。

——END——

　　更多網站設計、網頁設計等相關内容，歡迎您咨詢中山網訊科技！
　　
責任編輯：中山網站建設
     【網訊網絡】國(guó)家高新技術企業》十二年專注軟件開(kāi)發(fā)，網站建設，網頁設計，APP開(kāi)發(fā)，小程序，微信公衆号開(kāi)發(fā)，定制各類企業管理軟件（OA、CRM、ERP、OMS訂單管理系統、WMS進(jìn)銷存管理軟件等)！服務熱線：0760-88610046、13924923903，http://www.wansion.net