Glupteba僵尸网络使用比特币区块链进行C2备份。Glupteba概述最近,谷歌宣布了打击Glupteba僵尸网络活动的措施,Glupteba是一种攻击Windows主机的多组件僵尸网络,使用比特币区块链中编码的数据作为备份C2机制。谷歌研究人员分析发现,Glupteba窃取用户凭证和cookie,在受感染主机上进行加密货币挖掘,部署和运行代理组件来攻击Windows系统和物联网设备。Glupteb的受感染用户遍布全球,包括美国、印度、巴西和东南亚。Glupteba恶意软件家族最初通过按安装付费(PPI)网络传播,并从流量分发服务购买流量。一段时间后,研究人员发现每天有数千个恶意Glupteba实例被下载。下图是用于传播Glupteba变种的网页。该页面声称下载破解软件,但它下载的是Glupteba恶意软件变种:传播Glupteba变种的网页僵尸网络同时提供多种在线服务。这些服务包括使用窃取的凭据出售对虚拟机的访问权限、代理访问权限、出售信用卡号码以进行其他攻击等等。Glupteba服务上传到谷歌广告平台的加密货币垃圾邮件在过去的一年里,谷歌研究人员采取了一系列措施来破坏使用谷歌服务的Glupteba活动,包括用于传播Glupteba的6300万个谷歌文件、1183个谷歌账户、908个云项目、870个GoogleAds帐户等此外,GoogleSafeBrowsing向可能下载恶意文件的350万用户发出警告信息。此外,谷歌还卷入了针对Glupteba僵尸网络运营商的诉讼。经过分析发现,这两个Glupteba僵尸网络的运营者均位于俄罗斯。Glupteba的C2备份机制僵尸网络的C2通信通常使用HTTPS在控制服务器和受感染系统之间进行命令和二进制更新。为了提高其基础设施的弹性,Glupteba僵尸网络运营商还使用比特币区块链实施了C2备份机制。IfthemainC2serverisunresponsive,theinfectedsystemcanextracttheencryptedbackupC2domainnamefromthelatesttransactionatthefollowingbitcoinaddress:'1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1''15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6''1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD23'hardcodedinthedecryptedbinary节AES密钥:'d8727a0e9da3e98b2e4e14ce5a6cf33ef26c6231562a3393ca465629d66503cf''1BD83F6ED9BB578502BFB70D150D286716E38F7EB293152A54460E92223536'2223536'中间部分是AES-256GCM加密域名。解密加密域名的Python脚本如下:关于Glupteba网络协议的更多信息参见:https://news.sophos.com/wp-content/uploads/2020/06/glupteba_final-1.pdf这个文章翻译自:https://blog.google/threat-analysis-group/disrupting-glupteba-operation/如有转载请注明出处。
