以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

比特幣:FBI如何截獲黑客私鑰并追回勒索損失?剪貼板劫持值得我們注意

Author:

Time:1900/1/1 0:00:00

專業知識來源|安全網站ThreatPost

整理撰稿|白澤研究院

一葉知秋、秋風颯爽,我們度過了一個“有點冷”的加密Summer,在這幾個月中,幾乎每周都有新的黑客勒索軟件的攻擊。無論是ColonialPipeline、JBS、馬薩諸塞州輪船、Fujifilms還是新聞報道中的其他組織,網絡犯罪似乎比以往任何時候都更受關注。

最近的一份的報告顯示,網絡犯罪使全球損失超過1萬億美元,預計到2025年全球經濟將損失10.5萬億美元。

今年關于黑客勒索事件,最出名的還是美國最大的管道運營商ColonialPipeline向破壞服務器和網站的黑客、其他在暗網上出售數據的網絡犯罪團伙支付440萬美元,因為黑客的攻擊行為導致美國東海岸的燃料價格飆升。

所有這些事件和攻擊有一個很強的共性:黑客想要加密貨幣。

?黑客如何獲利?

黑客在受害者那里獲利的方式有很多種。其中有幾種方法很突出:

1.勒索軟件

將受害者的計算機系統加密,包括他們的個人數據和文件,會給受害者帶來緊迫感和混亂,以此來索取贖金。黑客勒索時,通常都會要求受害者在短時間內付款,并威脅會公開數據。

FBI幫助培訓尼日利亞加密貨幣犯罪調查員:美國駐尼日利亞代表團Mission Nigeria (USMN) 表示,美國政府最近通過FBI幫助開展了一項培訓活動,其目標是提高尼日利亞加密貨幣犯罪調查人員的能力。此次演習是與Addis和Abuja的國際計算機黑客和知識產權律師顧問 (ICHIP) 聯合舉辦的,有 50 多名尼日利亞調查人員和檢察官參加。培訓師分享了犯罪使用加密貨幣的模式和趨勢,并描述了犯罪企業使用加密貨幣的各種方式。

尼日利亞的大量加密欺詐案件過去曾促使尼日利亞證券交易委員會等機構發布公開警告或建議,以阻止與加密相關的活動。然而,盡管有這些警告或中央銀行施加的限制,尼日利亞對加密貨幣的興趣和使用仍在繼續增長。(Bitcoin News)[2021/8/29 22:45:12]

勒索軟件速度快且利潤豐厚,其潛在獲利從數千美元到數百萬美元不等。如果受害者受到勒索軟件的攻擊,他們的計算機屏幕上會清楚地顯示這一點,并且他們知道自己已經受到攻擊。這消除了黑客的“隱身”的隱患。

2.出售或濫用被盜數據

如果黑客在攻擊的數據庫中有訪問權限并且可以監聽網絡通信或敏感信息,他們就可以使用它。黑客們可能會將訪問權出售給暗網上的其他黑客,或者使用找到的銀行信息、信用卡數據或憑據來盜取賬戶存款。總而言之,他們可以造成很多傷害。

美FBI調查一起涉嫌加密貨幣投資的旁氏騙局,涉案金額達2800萬美元:美國聯邦調查局(FBI)正在調查一起龐氏騙局,三名嫌疑人通過承諾加密貨幣和其他投資回報從投資者那里竊取了2800萬美元。根據2020年12月18日發布的一份文件,這些犯罪嫌疑人經營著一家名為Smart Partners LLC的投資公司,其前身為“1st Million”。據稱,這三個人分別是Dennis Jali、John Frimpong以及Arley Johnson,他們假扮成牧師,在酒店和教堂活動期間尋求投資,承諾將通過投資加密貨幣市場和外匯來幫助教會和其成員實現財務自由。然而,FBI表示,該組織實際上是用所獲資金來償還早期投資者,并稱這種行為“與龐氏騙局相一致”,并正在尋求受害者的幫助。FBI和美國SEC分別于今年7月和8月對涉嫌作案者提出了指控。(Crypto Briefing)[2021/1/2 16:15:27]

雖然這種方法比勒索軟件更隱蔽,但仍有被鎖定的風險。此外,如果黑客們決定出售這些信息,他們有可能找不到買家。最終,這種方法有太多可變的結果,黑客可能會選擇不同的策略。

3.隱蔽的挖Kuang木馬—“黑客的提款機”

在黑客入侵受害者的計算機后,他們可以做任何他們想做的事情。通常,黑客會安裝“后門”,確保他們具有持久訪問權限并可以長時間保持對計算機的控制。這種持久性訪問權限的獲得方式采用一個占用空間小、不顯眼的“存根”的形式,它可能隱藏在計算機自動運行的代碼段中。

TrailofBits發布Hermez安全評估報告:22個問題已修復13個:12月30日消息,安全公司Trail of Bits在發布的針對二層擴容網絡Hermez的安全評估報告中指出,共發現了共22個問題,目前Hermez已修復了其中的13個問題,包括缺少合約存在性檢查、缺少頻繁更新值的訪問控制分隔等四個高危問題也已經修復,另一高危問題初始化功能的前置運行已完成部分修復,TokenHez上的重入風險目前還未進行修復。該評定報告是基于Trail of Bits研究人員在2020年10月26日至11月9日通過白盒測試得出的評定結果。截至12月23日,Trail of Bits已經審查了Hermez針對本報告中存在的問題而實施的修復。(Github)[2020/12/30 16:05:38]

雖然,持續控制受害者的計算機本身并不能賺錢,但是,你的計算機已經成為了這些黑客未來的“提款機”。

受到控制的計算機會“被迫”來計算哈希值,以便挖掘比特幣、以太坊、門羅幣或他們喜歡的任何其他加密貨幣。這會使得受控制的計算機的CPU、RAM和其他資源被大量消耗,增加受害者的電費。因為它保持隱藏的狀態,所以受害者每次打開計算機時,挖Kuang程序都會自動運行。

在以上三種黑客常見的獲利方式中,緩慢的挖掘加密貨幣將在短期內賺到最少的錢。但如果這種攻擊沒有引起注意,從長遠來看,它可能會帶來巨額回報,特別是如果它同時針對多個受害者。這種攻擊方式是最隱蔽的,以緩慢、非侵入性的方式進行。與勒索軟件不同,如果加密貨幣挖Kuang程序正在運行,受害者可能完全不會注意到。

動態 | Algo Capital官方:CTO錢包被盜部分代幣流向幣安錢包 FBI已介入:10月15日,Algo Capital發布有關CTO錢包被盜細節事宜。博客稱,9月26日,前Algo Capital 首席技術官 Pablo Yabo稱,他管理的幾個錢包已經被盜。這導致了190萬至150萬美元的失竊,其中有150萬美元被裝在由Algo Capital贊助的風險投資基金擁有的錢包里,其余的被裝在其他Algo Capital的錢包和Yabo的個人錢包里。由于一個錯誤,黑客能夠訪問一個臨時解密文件從而能夠訪問恢復種子備份,隨后黑客可以訪問到這些錢包中的資金。在很短的時間內,黑客可能將被盜的 Algos 轉移到數個幣安錢包中,顯然是在試圖清算這些資產。據幣安稱,所有與該事件有關的賬戶都已被隔離。Algo Capital也向聯邦調查局報告了這一事件,并與當地的亞特蘭大聯邦調查局合作,后者正在調查這一案件。由于此次事件,Yabo主動選擇了從公司辭職并獲批。Yabo還同意將很大一部分損失償還給Fund。此外,公告最后顯示,Algo Capital 與 Algorand Inc、Algorand LLC、Algorand Foundation 或其任何子公司均無關聯。[2019/10/15]

加密貨幣—黑客完美的“逃生之車”

動態 | FBI查獲價值450萬美元的加密貨幣:據coingape消息,聯邦調查局(FBI)于2019年3月26日宣布,他們報告了他們聯合行動的結果,根據最新版本,聯合刑事阿片類和暗網執法(J-CODE)協調努力的結果是一項名為“SaboTor行動”的項目,該項目旨在審查參與暗網販活動的實體。報告發布后,聯邦調查局成功奪取了價值450萬美元的虛擬加密貨幣,至少有61名成員被捕,監管機構當然還打破了涉及非法使用案件的暗網上的50個賬戶。[2019/3/28]

加密貨幣是黑客的完美“逃生之車”,這得益于加密貨幣/區塊鏈本身的自主性、匿名性、永久性和開放性的特點。使用加密貨幣,不會受到銀行和機構的監督;沒有銀行手續費、賬戶維護費、最低余額限制或透支費用。

如果黑客僅接受加密貨幣支付,那么這個黑客實際上可以一直保持匿名。加密貨幣的交易不會展示身份信息、電子郵件地址、姓名或任何詳細信息。

對黑客來說,加密貨幣最吸引人的特點可能是永久性:一旦匯款,就無法取回,區塊鏈上的交易回滾不太可能發生。這意味著對于勒索軟件之類的攻擊,黑客可以攜款逃跑。

了解區塊鏈或加密貨幣的朋友們此時可能會有一個疑問:加密貨幣的一個重要注意事項是交易保存并顯示在分布式的賬本上。任何人都可以在區塊鏈的瀏覽器上查詢資金往來何處,“如果交易是公開的,那么壞人怎么能保持匿名?”

請注意,錢包地址和轉賬本身不攜帶個人身份信息。最重要的是,黑客可能經常通過“混合器”發送資金或通過多個錢包轉移加密貨幣來“清洗”加密貨幣。事實上,有一些去中心化的協議可以為你做到這一點,例如tornado.cash可以“清洗”以太坊。通過多個錢包匯款,減少了與原錢包地址的聯系,這可以大大增加隱秘程度。

拋開一些加密貨幣為區塊鏈帶來的豐富創新,僅考慮黑客相關的問題,比特幣、以太坊等加密貨幣仍然是“黑客的貨幣”。沒有監管機構,加密貨幣市場可以不受監管地繼續運行下去,同時還會繼續提供給黑客“逃生之車”,因為沒有其他技術可以幫助黑客“完美犯罪”。

FBI如何截獲私鑰并追回勒索損失?

雖然比特幣交易是匿名的,但可以通過區塊鏈的記錄來跟蹤資金,以了解這些交易的實際情況以及它們的去向。下面我們將帶大家還原今年夏天發生的針對美國最大的管道運營商ColonialPipeline的勒索攻擊案件。

ColonialPipeline在今年早些時候遭到勒索軟件的攻擊。最終,該公司支付了440萬美元的比特幣來恢復他們的系統和數據。由于這是一次非常大規模的襲擊,聯邦調查局也介入其中,并最終將黑客的錢包地址“扣押”了。

6月初,支付給黑客的數百萬美元被FBI追回并歸還給ColonialPipeline。就該案件結果的本身而言,這是一項巨大的成就,也為網絡安全的奮斗邁出了一大步,事后FBI公開了一個關于追蹤這筆比特幣資金流向的報告。

雖然報告中關于案件的加密貨幣錢包地址被隱藏了,但因為它們遵循區塊鏈可識別的特征,我們可以輕松的在區塊鏈記錄中找到。

確定完整的錢包地址后,我們可以在區塊鏈上找到這個錢包,并查看傳輸的內容和時間。

請注意,截圖中地址的比特幣數量以及錢包地址的后半部分與FBI的報告一致。而比特幣的價格會波動,所以截圖中顯示的價值將與今天有所不同。

追查資金流向

檢查FBI報告中描述的步驟28-33,我們可以跟蹤到大約五個不同的錢包地址,這些地址是這筆比特幣的去向。

距離黑客原始的錢包地址只有五次轉移,看起來這些黑客似乎沒有使用“混合器”。他們只是……轉移了錢......而已。

最終產生的交易將63個比特幣發送到了FBI扣押的錢包地址。然而,63BTC與75比特幣的勒索支付數量不一致,這是什么原因?

其他的比特幣呢?

需要注意的是,無論當前的比特幣/美元的兌換率如何,63BTC≠75BTC。我們只能推測,最初的一些資金可能是給了黑客附屬的公司或合作伙伴的,因為眾所周知,DarkSide確實在與其他人合作。也許這些資金發送到的錢包地址不是FBI能夠控制且無法恢復的地址。

然而,值得慶幸的是,考慮到比特幣的價格波動和被“扣押”錢包中的可用資金,在支付給黑客的最初440萬美元中,有230萬美元得以追回。

聯邦調查局是如何獲取到錢包的訪問權限?

不幸的是,我們也對此感到疑惑。不管是什么原因什么方式,最終FBI已經發現了這個錢包地址所對應的私鑰,但是獲取的方式尚未公開披露。當然,黑客可能有一些錯誤,或者其他泄密事件,甚至是FBI進行的一些主動入侵……但這仍然是個謎。

加密貨幣的采用在黑客中究竟有多普及?

在“地下黑市”中,有許多罪犯僅使用加密貨幣來買賣惡意軟件或黑客服務。

大多數情況下,這些服務或商品會顯示一個加密貨幣二維碼,可以使買家輕松地進行付款。如果買家無法掃描二維碼,則網頁會顯示賣家的加密貨幣錢包地址,買家可以在錢包中自行轉賬。

這在整個惡意軟件市場和黑客論壇中都很普遍,而這只是用加密貨幣購買一些的工具和框架。

加密黑客的“新寵”—剪貼板劫持

最讓我們細思極恐的是黑客的小型攻擊形式——更改用戶復制和粘貼的錢包地址。黑客可以鎖定計算機的剪貼板并在受害者即將匯款時修改錢包地址。通過將惡意軟件注入到用戶的計算機中,可以執行簡單的切換,將轉賬時收件人的錢包地址替換為黑客自己的錢包地址,當加密貨幣匯款入黑客的地址后,因為區塊鏈的特性,受害者根本無法取回。

網絡安全公司ThreatPost最近截獲到了一個隱藏在常見自動運行文件中的遠程控制木馬,這個文件被可疑地命名為“AdobeColorCR_ExtraSettings_1_0-mul.zip”。

經過對該文件外殼的”抽絲剝繭“,最終技術人員得到了該惡意文件的核心代碼,并發現了明確的遠程訪問木馬(RAT)功能——與傳統的木馬一樣。

這個惡意文件最有趣的地方來了,技術人員發現了名為“funcCret”和“sendClib”的特殊函數。這也就是前文提到的”剪貼板攻擊“。funcCret”的功能包括加密貨幣錢包地址,并將自動檢查受害者計算機的剪貼板數據,有沒有存在任何的錢包地址。如果在剪貼板中找到了錢包地址,“sendClib”函數會將黑客的惡意錢包地址替換剪貼板內容。而黑客的惡意錢包地址如下圖所示:

我們可以先假設圖片圈出的代碼中的“bch”是指比特幣現金,“etho”是指以太坊,但“Mizu”是什么呢?

通過將“Mizu”地址在比特幣區塊鏈瀏覽器中搜索,技術人員發現,匯入這個地址中的比特幣有非常多,以至于該錢包地址的比特幣總價值超過了200萬美元。

使用這種“剪貼板劫持”技術的黑客目前已獲利超過200萬美元。

目前該惡意軟件和攻擊中使用的惡意錢包地址已被ThreatPost公司報告給此比特幣濫用數據庫。

我們需要注意

無論能否通過公共區塊鏈追蹤資金,事實仍然是黑客熱衷于在惡意軟件中使用加密貨幣,以合法的現實世界資產來牟利。

雖然我們已經看到勒索軟件猖獗,信息和數據在暗網上拍賣,遠程挖Kuang木馬偷偷使用我們的計算機資源用來挖掘加密貨幣,但這種剪貼板劫持技術也同樣值得我們注意。如果我們不去認真查看Windows文件系統中的角落,不去檢查那些可以自動運行的程序或應用,下一個受到傷害的可能就是我們。

Tags:加密貨幣比特幣區塊鏈ALG加密貨幣是什么意思啊閃電比特幣以下哪項不是區塊鏈目前的分類Algodex Token

以太坊最新價格
Kucoin:交易機器人回歸季,返利卡券大放送!

親愛的KuCoin用戶,KuCoin交易機器人上線以來,不斷升級迭代,新增了多種策略與功能!為感恩老用戶一路上的陪伴與支持.

1900/1/1 0:00:00
USDT:大幣網(Dcoin)關于永續合約系統升級公告(2021/9/17)已完成

親愛的大幣網(Dcoin)用戶:大幣網(Dcoin)已完成對永續合約系統功能的升級維護,現已恢復正常交易.

1900/1/1 0:00:00
DAO:一文詳解如何加入DAO并充分利用DAO

撰文:WilliamM.Peaster本文編譯自BanklessDAO是加密經濟中的一個新興領域。上周提到,我們相信DAO是一種必不可少的基本工具,它將改變人類協調資本和資源的方式.

1900/1/1 0:00:00
NFT:神魚:元宇宙將是人類文明的一次重大更迭

CoboLabs是亞太最大的加密貨幣托管平臺,最受機構歡迎的金融資管服務商Cobo的加密貨幣研究實驗室.

1900/1/1 0:00:00
SDT:AOFEX于9月20日首發上線TWFI(Trister''s Lend)

尊敬的用戶: AOFEX將于2021年9月20日上線TWFI,具體時間安排如下:TWFI充提業務均已開啟TWFI交易時間:9月22日01:00提示:以下內容來源于公告發布時的網絡現有資料.

1900/1/1 0:00:00
比特幣:范一飛在北京和河北張家口調研數字人民幣試點工作

金色財經報道,2021年9月15日至16日,人民銀行黨委委員、副行長范一飛帶隊先后到冬奧會張家口賽區和北京賽區調研冬奧會支付服務環境建設和數字人民幣試點情況.

1900/1/1 0:00:00
ads