根据Akamai的最新研究,加密货币挖矿僵尸网络运营商使用比特币区块链交易来隐藏备份C2服务器地址并绕过僵尸网络分析。僵尸网络利用C2服务器接收来自攻击者的命令。执法机构和安全研究人员也在不断发现并拆除这些C2服务器以破坏僵尸网络。但一般僵尸网络都会有备份的C2地址,这使得僵尸网络很难被摧毁。Akamai分析发现,僵尸网络的运营者使用区块链隐藏备份C2IP地址。攻击链始于影响HadoopYarn和Elasticsearch的远程代码执行漏洞CVE-2015-1427和CVE-2019-9082。在某些活动中,远程代码执行漏洞被利用来创建Redis服务器扫描程序,以查找可用于加密货币挖掘的其他Redis目标。然后在易受攻击的系统上部署shell脚本以触发RCE攻击,此外还部署了Skidmap挖矿恶意软件。该脚本还可能杀死现有的矿工、修改SSH密钥并禁用安全功能。然后使用Cron作业和Rootkit来实现持久性和进一步的恶意软件分发。为了维护和实现对目标系统的重度感染,使用了由安全研究人员识别和发现的域名和静态IP地址。僵尸网络运营商使用备份基础设施来预期域名和IP地址可能会被识别和删除。2020年12月,Akamai研究人员发现了一种包含BTC钱包地址的加密货币挖矿恶意软件变体。此外,还发现了一个钱包地址API的URL,研究人员分析该API获取的钱包数据可能被用于计算IP地址。此IP地址随后用于露营。研究人员表示,在通过钱包API检索地址后,恶意软件的操作者能够混淆和隐藏区块链上的配置数据。只需将少量比特币放??入比特币钱包,即可恢复受损的僵尸网络系统。根据研究人员的说法,攻击者设计了一种非常有效的分发配置信息的方法,这种方法不会被发现和捕获。为了将钱包数据转换为IP地址,僵尸网络运营商使用4个bash脚本向区块链浏览器API发送HTTP请求以获得给定的钱包地址,然后将最后2笔交易的Satoshi值转换为BackupC2IP地址。感染使用钱包地址作为类DNS记录和交易值作为A记录类型。如下图,变量aa包含比特币钱包地址,变量bb包含返回最后2笔交易的API,最后2笔交易将用于生成IP地址,变量cc包含最终生成的C2IP地址。实现这种转换的bash脚本如下:将交易Satoshi值转换为C2IP地址的bash脚本示例Akamai估计僵尸网络运营商已经开采了价值30,000美元的Monero。研究人员分析称,这项技术的原理和应用都非常简单,应用后不易被发现,未来可能会大行其道。完整的技术分析见:https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html本文翻译自:https://www.zdnet.com/article/this-botnet-is-abusing-bitcoin-blockchains-to-stay-in-the-shadows/
