「网络安全快报」黑客新技术:利用比特币区块链来隐藏C&C服务器_比特币:KNV

Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。

过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。

该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。

感染链

LTC突破110美元,24小时涨幅近30%:金色财经报道,行情显示,LTC短线突破110美元;现报107.56美元,24小时涨幅为28.03%。行情波动较大,请做好风险控制。[2023/7/1 22:11:17]

攻击者如何在比特币区块链中隐藏C&C服务器

在这个真实的案例中,攻击者想要隐藏IP18520311647

为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:

1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F

安全团队:dForcenet合约遭受攻击,总损失约370万美元:金色财经报道,据区块链安全审计公司Beosin旗下平台监测显示,dForcenet合约,分别在Optimism 和 Arbitrum两条L2链上遭到了攻击。两条链上总损失约370万美元。据Beosin安全技术人员分析,原因为项目方外部接口curve的使用方式不当,未考虑重入风险,影响了Oracle的价格,攻击者在价格被操纵的情况下清算头寸获取利润。

在Arbitrum上的攻击交易获利719,437枚dForce USD (USX) 和 1236 枚 ETH(约195万美元)。ETH还留在Arbitrum链上的地址上,USX通过跨链桥转移到Optimism链上。在Optimism链上的攻击交易获利1,037,000 USX,最后所有的USX被兑换成了1110 枚ETH(约175万美元)。ETH还留在Optimism链上的地址上。[2023/2/10 11:59:11]

2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9

Tether在Tron启动离岸人民币稳定币CNH?:12月6日消息,Tether 在 Tron 上启动锚定离岸人民币的稳定币 CNH?。Bitfinex将成为第一家允许其用户在 Tron 网络存取 CNH? 的交易所。CNH?最初由Tether在2019年在以太坊上作为ERC-20代币推出。[2022/12/7 21:26:54]

3、然后,攻击者将十六进制转换为十进制CBB9==>52153。

他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74

万事达卡与加密交易平台BitOasis达成合作,推出加密银行卡:10月25日消息,据外媒报道,万事达卡已与加密交易平台BitOasis达成战略合作伙伴关系,预计将在2023年初在中东和北非 (MENA) 推出支持加密货币交易的银行卡。BitOasis客户将能够将其持有的加密货币转换为法定货币,让消费者能够在全球超过9000万个商家地点轻松购物和支付。

此前报道,2021年10月6日,中东及北非地区的加密交易平台BitOasis宣布完成3000万美元B轮融资。[2022/10/25 16:38:23]

5、攻击者将十六进制转换为十进制2F74==>12148。

000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易

图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0

Redaman恶意软件如何揭示动态隐藏的C&C服务器IP

Redaman与上述算法相反。

1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易

hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。

3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。

4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47

5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。

图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F

图3–包含隐藏的C&C服务器IP的Json响应

结论

在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。

与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-0:551ms