Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。
过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。
该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。
感染链
德勤集成Polkadot生态身份协议KILT Protocol,发行可重复使用的数字证书:5月4日消息,会计师事务所德勤宣布正在集成Polkadot生态身份协议KILT Protocol,用于发行可重复使用的数字证书,以支持其了解你的客户 / 了解你的业务 (KYC/KYB) 流程, KILT的技术可消除围绕KYC/KYB流程现有效率低的问题。这些凭证有多个用例,包括银行和DeFi的监管合规、电子商务的年龄验证、私人登录和筹款等。[2023/5/4 14:43:05]
攻击者如何在比特币区块链中隐藏C&C服务器
在这个真实的案例中,攻击者想要隐藏IP18520311647
Seven Seven Six去年8月即将筹集的1.76亿美元加密基金已蒸发至600万美元:2月22日消息,Reddit 联合创始人、Seven Seven Six 领导者 Alexis Ohanian 在接受福布斯采访时表示,2022 年在获得 RIA 许可证后,Seven Seven Six 于当年 8 月立即着手筹集 1.76 亿美元的加密货币基金,随着数字资产行业被加密熊市所吞噬,该基金减少到仅 600 万美元。Ohanian 将其归因为时机不对。[2023/2/22 12:21:35]
为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:
Aave已消除去年11月270万枚CRV的金库坏账:1月27日消息,链上数据显示,Aave已消除Mango Markets攻击者Avraham Eisenberg在去年11月导致的270万枚CRV的金库坏账。
此前Avraham Eisenberg从Aave借入数千万枚CRV代币,在由于空头挤压导致价格突然飙升后,他的头寸被清算,使Aave在CRV中背负约270万枚CRV的坏账。[2023/1/27 11:31:54]
1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F
韩国新韩银行推出Shinamon元宇宙平台:金色财经报道,据韩国媒体周三报道,韩国新韩银行(Shinhan Bank)开设了一个“元宇宙”网站,提供所谓的金融和非金融服务,声称是韩国首家提供这种平台的银行。据报道,所谓的“Shinamon”元宇宙平台将包括金融、医疗、艺术和体育等领域。
该银行表示,今年6月对Shinamon的服务进行了为期5天的测试,吸引了8.5万名游客。在此之前,新韩银行在区块链和加密货币相关服务方面进行了多次试验。(forkast)[2022/12/1 21:15:09]
2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9
3、然后,攻击者将十六进制转换为十进制CBB9==>52153。
他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74
5、攻击者将十六进制转换为十进制2F74==>12148。
000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易
图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0
Redaman恶意软件如何揭示动态隐藏的C&C服务器IP
Redaman与上述算法相反。
1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易
hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。
3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。
4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47
5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。
图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F
图3–包含隐藏的C&C服务器IP的Json响应
结论
在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。
与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。