Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。
过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。
该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。
感染链
美国众议员呼吁国会就加密货币监管采取“共同行动”:金色财经报道,新成立的以数字资产为重点的众议院金融服务小组委员会主席、众议员 French Hill 表示,国会需要“齐心协力”监管加密货币。
Hill表示,国会应该首先寻求立法,而不是“被监管机构的执法行动或监管指导所取代”。尽管他没有点名,但商品期货交易委员会,尤其是证券交易委员会今年一直忙于对加密公司和个人采取执法行动。[2023/3/22 13:18:17]
攻击者如何在比特币区块链中隐藏C&C服务器
在这个真实的案例中,攻击者想要隐藏IP18520311647
分析师:北美矿企Hut 8 的数据中心交易将使其在同行中脱颖而出:金色财经报道,Craig-Hallum分析师George Sutton表示,北美矿企Hut 8收购TeraGo的云和主机托管数据中心业务,可以提供一个关键的长期竞争优势。比特币矿工面临的公然的挑战是最近BTC价格的下挫和供应链的中断,正如预期的那样,股价跟着比特币的轨迹走,然而,他补充道:不明显的是,HUT收购TeraGo的数据中心业务将对公司的未来产生影响。
Sutton预计,这笔交易将为HUT 8增加约2000万加元的高利润、运行率收入,使该公司能够抵消其 \"HODL “战略的现金燃烧,即保留其几乎所有开采的加密货币。Sutton称,我们的长期观点是,数据中心业务最终可以扩大到从数据中心业务产生的法币利润完全覆盖企业开销的水平。
Hut 8在1月份以3000万加元现金收购了TeraGo数据中心业务,并为包括游戏、视觉效果和政府机构在内的各种垂直行业带来了约400名商业客户。(Coindesk)[2022/3/18 14:05:30]
为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:
金色财经CEO安鑫鑫:共为、共创、同行 以更加开放的思维拥抱行业生态:金色财经现场报道,与时共创第二届年度金色盛典12月26日在三亚举行。金色财经CEO安鑫鑫现场致辞指出,金色财经每年举办年度颁奖盛典,旨在奖励本年度为行业做出突出贡献,突出成就的企业、机构和个人,鼓励行业创业者和从业者继续为区块链事业发展添砖加瓦,创新突破。整个2020年,金色财经的活动离不开几个关键词:共识共为、与时共创、同在同行。我们见证和记录着行业的点点滴滴,指引创业者和投资者走在时代的前列,链接着行业的每一个参与者。在陪伴大家一起成长的同时,金色财经自身也在不断创新和蜕变,2021我们将会以更加开放的思维,拥抱行业生态,共建更大的舞台。[2020/12/26 16:35:01]
1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F
声音 | 百度区块链实验室:百度百科未来将和不同行业区块链系统打通:7月18日,据星球日报消息,今日在百度图腾发布会上,百度区块链实验室主任谭待透露,百度一直在致力于利用区块链提升百度百科词条的权威性,未来百度百科可能和不同行业的区块链系统(如供应链、金融)打通,通过AI将区块链的数据内容结合,利用AI直接进行可信的词条写作。[2018/7/18]
2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9
3、然后,攻击者将十六进制转换为十进制CBB9==>52153。
他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74
5、攻击者将十六进制转换为十进制2F74==>12148。
000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易
图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0
Redaman恶意软件如何揭示动态隐藏的C&C服务器IP
Redaman与上述算法相反。
1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易
hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。
3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。
4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47
5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。
图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F
图3–包含隐藏的C&C服务器IP的Json响应
结论
在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。
与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。