PonyC2服务器隐藏在比特币区块链中

2019年11月1日00:01:07 发表评论
AD1 AD2 AD3 AD4

Redaman是一款主要攻击俄语用户的钓鱼攻击中传播的银行恶意软件。最早于2015年以RTM银行木马的形式出现,之后新版本的Redaman出现在2017和2018年。2019年9月,Check Point研究人员发现新版本的Redama将Pony C2服务器IP地址隐藏在比特币区块链中。

过去研究人员也发现过有攻击者将C2服务器IP地址隐藏在区块链中,本文主要对攻击活动中使用的新技术进行分析。

恶意软件会连接比特币区块链和链交易来找到隐藏的C2服务器,研究人员将这种新技术命名为Chaining。

PonyC2服务器隐藏在比特币区块链中

攻击者如何在比特币区块链中隐藏C2服务器呢?

在本例中,攻击者隐藏的IP地址为185.203.116.47

为此,攻击者使用了钱包地址 1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ :

1. 攻击者会把IP地址从10进制转为十六进制: 185.203.116.47 => B9.CB.74.2F

2. 攻击者将前2个8位组 B9和CB顺序互换,并融合到一起:B9.CB => CBB9

3. 攻击者将十六进制再转为十进制: CBB9 ==> 52153

0.00052153 BTC (约4美元) 就是钱包要做的第一笔交易

4. 攻击者获取最后2个8位组,并将顺序互换,变成一个: 74.2F => 2F74

5. 攻击者将十六进制再转为十进制: 2F74==> 12148

0.00012148 BTC (约1美元)是钱包要进行的第二笔交易

文中描述了Redaman如何高效地将动态C2服务器地址隐藏在比特币区块链中。相当于简单地通过静态或硬编码IP地址的方式来设置C2,文中介绍的新方法更加难以预防。

发表评论

后发表评论