سواستفاده بات نت ها از بلاکچین بیت کوین برای فرار از شناسایی
اخبار داغ فناوری اطلاعات و امنیت شبکه
آکامای تحقیقات جدیدی را منتشر کرده و در آن روش های استفاده شده توسط اپراتورهای یک کمپین بات نت استخراج رمزارزها برای فرار از شناسایی که در آن مجرمان اینترنتی با سواستفاده از معاملات بیت کوین برای انجام عملیات غیرقانونی استخراج رمزارز در حالی که تحت نظارت هستند را توضیح میدهد.
از معاملات بلاکچین بیت کوین (BTC) برای پنهان کردن آدرس های سرور C&C پشتیبان بهره برداری میشود تا بات نت ها بتوانند بدون وقفه دستورات و کدهای مهاجمان را دریافت کنند.
چنین سرورهایی به طور مداوم توسط تیم های امنیتی و مقامات نظامی شکار میشوند تا این دست کمپین ها را از کار بی اندازند. با این حال، به دلیل پیشتیبان گیری، غیرفعال کردن آنها ممکن است مشکل زا و سخت باشد.
به گفته محققان آکامای، این یک روش ساده اما "موثر" برای شکست اقدامات امنیتی در راستای حذف است که تاکنون اپراتورهای مهاجم بیش از 30 هزار دلار در مونرو (که قبلتر یک کد استخراج رمزارز آنرا در عکس یک بازیگر هالیوودی مخفی سازی کرده بودند) استخراج کرده اند.
الصاق جزئیات زنجیره
آکامای گزارش میدهد که اولین قدم در زنجیره حمله، بهره برداری از آسیب پذیری های RCE (اجرای کد از راه دور) مانند CVE-2015-1427 و CVE-2019-9082 (Hadoop Yarn and Elasticsearch)است که بر عملکرد نرم افزار تاثیر میگذارد.
در بعضی حملات به جای ربودن سیستم، RCE ها برای ایجاد اسکنرهای سرور Redis اصلاح میگردند. هدف آنها یافتن اهداف اضافی Redis برای استخراج ارزهای رمزنگاری شده است.
برای ایجاد RCE، یک Script Shell در سیستم آسیب پذیر مستقر میشود تا بدافزار استخراج Skidmap را راه اندازی کند. این اسکریپت میتواند استخراج کنندگان موجود را از بین برده و ویژگی های امنیتی را غیرفعال کند یا کلیدهای SSH را تغییر دهد.
چگونگی مقاوم ماندن
برای ادامه توزیع بدافزار و حفظ پایداری آن، از روت کیت ها و برنامه ریزهای کاری محدودی به نام Cron Jobs استفاده میشود. اما برای آلوده سازی مجدد سیستم هایی که به عنوان هدف مشخص شده اند، از آدرس و دامنه های IP Static استفاده میشود که میگویند معمولا توسط تیم های امنیتی "شناسایی، سوزانده و یا توقیف میشوند".
به همین علت اپراتورها زیرساخت هایی به عنوان پشتیبان در این کمپین گنجانده اند تا آلوده کننده های ناموفق بتوانند آلودگی را ذخیره و بارگذاری کنند، دستگاه آلوده را به روز رسانی کنند و از دامنه ها و زیرساخت های جدید استفاده نمایند.
روش غیرقابل قبول و غیرمشهود
طبق تجزیه و تحلیل محققین آلکامای، در دسامبر سال 2020، اپراتورهای این کمپین ها، آدرس کیف پول بیت کوین را در نسخه جدید بدافزارهای استخراج رمزارز افزودند. آنها همچنین یک Bash یک خطی و یک URL برای یک wallet-checking API اضافه کردند؛ که نشان میدهد داده های کیف پول توسط API ای که برای محاسبه آدرس آی پی استفاده میشده، دریافت میگردیده است.
بعدا این آدرس برای حفظ ماندگاری و مقاومت، مبهم سازی و انباشت داده های پیکربندی بلاک چین استفاده میشود. آنها مقدار کمی بیت کوین را به کیف پول منتقل میکنند تا سیستم های آلوده رها شده را بازیابی کرده و دوباره وارد مدار کنند.
محققان ادعا میکنند که این روش توزیع اطلاعات پیکربندی "به طور موثری غیرمشهود و غیر قابل کنترل است".
تغییر مقادیر ساتوشی
اپراتورها از چهار اسکریپت Bash یک خطی برای تبدیل داده های کیف پول به آدرس آی پی مورد نظر استفاده میکنند. این اسکریپت ها یک درخواست HTTP به جستجوگر API بلاکچین برای کیف پول و مقادیر ساتوشی از دو معامله اخیر که به دستور پیشتیبانی و IP کنترل تبدیل شده اند، ارسال مینماید.
در نتیجه آلودگی از آدرس کیف پول به عنوان یک رکورد DNS استفاده میکند، در حالی که مقادیر تراکنش به عنوان یک رکورد A استفاده میشوند.
متغیر aa شامل آدرس کیف پول بیت کوین، متغیر bb شامل نقطه پایانی API که آخرین دو تراکنش مورد استفاده برای تولید آدرس IP را برمیگرداند و متغیر cc حاوی آدرس IP C2 نهایی پس از اتمام فرآیند تبدیل و تغییر است. برای دستیابی به این تبدیلات و تغییرات، چهار Bash یک خطی تو در تو (به ازای هر هشت عدد، یکی) با هم ترکیب شده اند. در حالی که به سختی میتوان آشفتگی cURL ها، seds، awks و pipes را در اولین نگاه درک کرد، اما این یک تکنیک نسبتا ساده است.
برچسب ها: رمزارز, Bash, Skidmap, BTC, DNS, IP Address, mining, ماینینگ, cryptocurrency, BlockChain, بلاکچین, Botnet, بات نت, بیت کوین, استخراج, Bitcoin