根據Akamai 的最新研究發現，有加密貨币挖礦僵屍網絡運營者利用比特币區塊鏈的交易來隐藏備份的C2 服務器地址，并繞過了對僵屍網絡的分(fēn)析。

僵屍網絡利用C2 服務器來從攻擊者處接收命令。執法機構和安全研究人員(yuán)也在不斷地發現和取締這些C2 服務器以達到破壞僵屍網絡的目的。但是一(yī)般僵屍網絡都會有備份的C2 地址，這使得破壞僵屍網絡非常的困難。

Akamai分(fēn)析發現，該僵屍網絡的運營者通過區塊鏈來隐藏備份的C2 IP地址。攻擊鏈是從影響Hadoop Yarn 和Elasticsearch的遠程代碼執行漏洞CVE-2015-1427 和 CVE-2019-9082 開(kāi)始的。在一(yī)些攻擊活動中(zhōng)，遠程代碼執行漏洞被利用來創建Redis 服務器的掃描器來找出其他可以用于加密貨币挖礦的Redis 目标。

然後在有漏洞的系統上部署一(yī)個shell 腳本來觸發RCE 漏洞，此外(wài)還會部署Skidmap 挖礦惡意軟件。該腳本可能還會kill 現有的挖礦機，修改SSH key，禁用安全特征。然後利用Cron job和 rootkit來實現駐留，并進一(yī)步分(fēn)發惡意軟件。爲了維持和實現對目标系統的重感染，使用了域名和靜态IP 地址，安全研究人員(yuán)就是去(qù)識别和發現這些地址。僵屍網絡運營者考慮到域名和IP 地址可能會被識别和取締，因此使用了備份基礎設施。

2020年12月，Akamai 研究人員(yuán)發現一(yī)個加密貨币挖礦惡意軟件變種中(zhōng)包含一(yī)個BTC 錢包地址。此外(wài)，還發現了一(yī)個錢包地址API的 URL，研究人員(yuán)分(fēn)析發現該API 取回的錢包數據可能被用來計算IP 地址。然後該IP 地址會被用來實現駐留。研究人員(yuán)稱通過錢包API 取回地址後，惡意軟件的運營者能夠混淆和隐藏區塊鏈上的配置數據。

隻需要将少量的比特币放(fàng)到比特币錢包中(zhōng)，就可以恢複受破壞的僵屍網絡系統。研究人員(yuán)稱攻擊者設計了一(yī)種非常有效、不會被發現和被抓的配置信息分(fēn)發方法。

爲将錢包數據轉化爲IP 地址，僵屍網絡運營者使用了4個bash 腳本來發送到給定錢包地址的HTTP 請求到區塊鏈浏覽器API，然後最近的2個交易的聰值就會轉化爲備份C2 IP地址。

感染使用錢包地址作爲類DNS 記錄，交易值是A 記錄類型。如下(xià)圖所示，變量aa中(zhōng)包含有比特币錢包地址，變量bb 中(zhōng)含有返回最近2個交易的API，最近的2個交易會被用來生(shēng)成IP 地址，變量cc含有最終生(shēng)成的C2 IP地址。

實現這一(yī)轉換的bash腳本如下(xià)：

将交易的聰值轉化爲C2 IP地址的bash 腳本示例

Akamai預計該僵屍網絡運營者已經挖到了價值3萬美元的門羅币。研究人員(yuán)分(fēn)析稱，該技術的原理和應用都非常簡單，另外(wài)應用後難以檢測，因此未來可能會非常流行。

——END——

　　更多網站設計、網頁設計等相關内容，歡迎您咨詢中(zhōng)山網訊科技！
　　
責任編輯：中(zhōng)山網站建設
     【網訊網絡】國家高新技術企業》十二年專注軟件開(kāi)發，網站建設，網頁設計，APP開(kāi)發，小(xiǎo)程序，微信公衆号開(kāi)發，定制各類企業管理軟件（OA、CRM、ERP、OMS訂單管理系統、WMS進銷存管理軟件等)！服務熱線：0760-88610046、13924923903，http://www.wansion.net