比特幣:「網絡安全快報」黑客新技術：利用比特幣區塊鏈來隱藏C＆C服務器

Redaman是通過網絡釣魚活動分發的一種銀行惡意軟件，主要針對俄語使用者。Redaman的新版本于2015年首次出現，并被報告為RTM銀行木馬，并于2017年和2018年出現。2019年9月，CheckPoint研究人員確定了一個新版本，該新版本將PonyC＆C服務器IP地址隱藏在比特幣區塊鏈中。

過去我們看到過其他使用比特幣區塊鏈隱藏其C＆C服務器IP地址的技術，但是我們將分享對新技術的分析。

該惡意軟件連接到比特幣區塊鏈和鏈接交易，以便找到隱藏的C＆C服務器。

感染鏈

CoinsPaid：黑客攻擊為Lazarus Group策劃，客戶資金完好無損:金色財經報道，CoinsPaid發布聲明稱，7月22日CoinsPaid遭遇黑客攻擊，導致3730萬美元被盜。我們懷疑最強大的黑客組織之一Lazarus Group應對此負責。其受害者名單還包括世界頂級公司：索尼（8100萬美元）、Axie Infinity（6.25億美元）、Horizo??n Bridge（1億美元）、Atomic Wallet（1億美元）和Alphapo（2300萬美元）。該團隊表示，作為第一要務，已確保客戶資金完好無損。不幸的是，這次攻擊影響了平臺的可用性，公司的收入也受到了影響。

CoinsPaid首席執行官Max Krupyshev強調：“部分停機后，我們的服務正在新的安全環境中一項一項啟動并運行。我們預計還需要幾天時間來整理次要細節并確保系統順利運行” 。幾周內，CoinsPaid將組織一次圓桌會議，與所有Lazarus受害者宣布一項新舉措，旨在最大限度地減少和防止未來此類攻擊。[2023/7/27 16:01:14]

攻擊者如何在比特幣區塊鏈中隱藏C＆C服務器

前CFTC委員：以太坊等同于商品和證券:金色財經報道，前CFTC委員Dan Berkovitz表示，以太坊既可以是一種證券，也可以是一種商品，資本化程度第二高的加密貨幣屬于美國證券交易委員會和CFTC的管轄范圍。有些東西既可以是商品，也可以是證券，定義上的混亂是由于商品不是嚴格意義上的實物。也就是說，期貨合約 所涵蓋的任何東西在技術上都可以被定義為商品。[2023/5/24 22:14:41]

在這個真實的案例中，攻擊者想要隱藏IP18520311647

為此，攻擊者使用錢包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ：

CFTC要求法院頒布“禁止Binance及其高管繼續違反CEA和CFTC規定”等4項命令:3月27日消息，根據CFTC的指控，其要求對Binance進行制裁，包括要求法院頒布以下命令：

1.禁止Binance及其高管繼續違反CEA和CFTC規定；

2.要求Binance支付民事罰款；

3.要求Binance退還非法獲得的收益；

4.要求Binance支付訴訟費用。

Binance被指控違反CEA和CFTC規定，這些規定是民事法律。因此，如果Binance被判定有罪，可能會面臨民事處罰，而不是刑事處罰。[2023/3/28 13:29:48]

1、攻擊者將IP地址的每個八位字節從十進制轉換為十六進制：18520311647=>B9CB742F

AC米蘭與MonkeyLeague合作推出的NFT系列將于10月6日在Magic Eden進行拍賣:10月13日消息，意大利足球俱樂部AC米蘭與Solana電競特許經營商MonkeyLeague合作推出的NFT系列將于北京時間10月6日20:00至10月7日00:00在Magic Eden進行拍賣。該NFT系列為16支超級限量版AC Milan Retro Monkey NFT，由4套 MonkeyPlayer NFT組成，用于慶祝AC米蘭歷史上的幾支球隊1993/94和1995/96賽季，持有NFT的粉絲可以獲得官方推出的可穿戴設備以及參加相關的足球游戲。[2022/10/3 18:38:23]

2、攻擊者獲取前兩個八位字節B9和CB并以相反的順序B9組合它們。CB=>CBB9

3、然后，攻擊者將十六進制轉換為十進制CBB9==>52153。

他將對1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ錢包進行的第一筆交易是000052153BTC4、攻擊者獲取最后2個八位位組74和2F，并以相反的順序組合它們742F=>2F74

5、攻擊者將十六進制轉換為十進制2F74==>12148。

000012148BTC是他將對1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ錢包進行的第二筆交易

圖1–金額為000052153和000012148BTC的關聯交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0

Redaman惡意軟件如何揭示動態隱藏的C＆C服務器IP

Redaman與上述算法相反。

1、Redaman發送GET請求以獲取硬編碼比特幣錢包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十筆交易

hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它將最后兩次付款交易的值帶到比特幣錢包52153和12148。

3、將事務的十進制值轉換為十六進制52153==>CBB9和12148==>2F74。

4、將十六進制值拆分為低字節和高字節，更改順序并將其轉換回十進制。B9==>185，CB==>203，74==>116，2F==>47

5、這些值共同組合了隱藏的C＆C服務器IP18520311647的IP地址。

圖2–計算C＆C服務器IP的實際代碼，您可以在“轉儲1”中看到C＆C服務器IP的十六進制值：B9CB742F

圖3–包含隱藏的C＆C服務器IP的Json響應

結論

在此博客中，我們描述了Redaman如何通過將動態C＆C服務器地址隱藏在比特幣區塊鏈中來提高效率。

與基于靜態/硬編碼IP地址的簡單C＆C設置相反，后者提供了一種簡便的方法來防御此類攻擊。

Tags：比特幣KNV區塊鏈比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢KNV幣KNV價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢

USDT