新型加密僵尸网络滥用比特币区块链交易作为 C2 备份机制

Akamai的安全专家发现了一个新的僵尸网络，该僵尸网络用于非法加密货币挖掘活动，这些活动滥用比特币（BTC）交易来实施C2的备份机制。

该技术使僵尸网络运营商可以使其基础架构具有抵御执法行为的能力。

“来自已知的加密采矿僵尸网络活动的恶意软件已经开始利用比特币区块链交易来隐藏其备用C2 IP地址。这是一种简单而有效的方法，可以挫败攻击企图。” 阅读Akamai发表的帖子。“最近针对Akamai SIRT的定制蜜罐的感染尝试发现了一种混淆命令和控制（C2）基础结构信息的有趣方法。长期运行的加密采矿僵尸网络活动的运营商开始创造性地伪装其在比特币区块链上的备用C2 IP地址。”

感染链开始利用影响Hadoop Yarn，Elasticsearch（CVE-2015-1427）和ThinkPHP（CVE-2019-9082）的远程代码执行（RCE）漏洞。

僵尸网络运营商使用Redis服务器扫描程序来查找可能被盗用加密货币的安装。

专家估计，自2018年以来，僵尸网络运营商已在Monero的公共池中开采了超过30,000美元。专家在一段时间内使用不同的技术和工具识别了多种变体。

较旧的版本使用Shell脚本执行主要功能，例如禁用安全功能，阻止竞争性感染，建立持久性，并在某些情况下在受感染的网络中传播。

Shell脚本的更新版本利用二进制有效负载来处理更多的系统交互，例如消除竞争，禁用安全功能，修改SSH密钥，下载并启动矿工。

僵尸网络运营商使用cron作业和rootkit来实现持久性并使用最新版本的恶意软件重新感染。

这些方法依赖于写入crontab和配置的域和静态IP地址。可以预见地，这些域和IP地址会被识别，刻录和/或占用。该活动的运营商对此表示期望，并包括备份基础架构，在该基础架构中，感染可能会进行故障转移并下载更新的感染，从而更新受感染的计算机，以使用新的域和基础架构。” 继续报告。*

“尽管这项技术有效，但同时针对目标域和故障转移IP地址/基础架构的协调拆除工作可以有效地使运营商摆脱在受感染系统上的立足之地。”

2020年12月，研究人员发现了矿工新版本中包含的BTC钱包地址，以及用于钱包检查API和bash单线的URL。专家发现，钱包数据已由API提取，并用于计算用于保持持久性的IP地址。

通过通过钱包API获取地址，僵尸网络操作员能够混淆和备份区块链上的配置数据。

专家注意到，通过将少量BTC放入钱包中，操作员可以恢复被孤立的受感染系统。

“基本上，感染是将钱包地址用作DNS之类的记录，而将交易值用作A记录的类型。变量aa包含比特币钱包地址，变量bb包含API端点，该端点返回用于生成IP地址的最新两次交易，变量cc包含转换过程完成后的最终C2 IP地址。” 继续报告。“为了实现这种转换，将四个嵌套的Bash单层（每个八位字节一个）串联在一起。”*

专家认为，可以改进该技术，以避免向僵尸网络开发人员提供指示和反馈。

“采用这种技术可能会带来很大的问题，并且在不久的将来可能会越来越受欢迎。” 总结报告。