专栏首页FreeBuf分析隐藏在比特币区块链中的Pony C&C服务器

分析隐藏在比特币区块链中的Pony C&C服务器

介绍

Redaman是一种通过网络钓鱼攻击活动进行传播的银行恶意软件,主要目标用户为俄语用户。该恶意软件最早出现在2015年,当时该恶意软件被称为RTM银行木马,新版本的Redaman出现在2017年至2018年间。在2019年9月份,Check Point的安全研究人员又发现了一个更新的版本,该版本竟然将一个小型C&C服务器的IP地址隐藏在了比特币区块链之中。

实际上,我们此前已经看到很多其他的技术会利用比特币区块链来隐藏他们的C&C服务器IP地址,但是在这篇文章中,我们将跟大家分析一种新型的隐藏技术-“Chaining”。

感染链

攻击者如何在比特币区块链中隐藏C&C服务器?

在这个真实的分析样本中,攻击者想要隐藏的IP地址为“185.203.116.47”。

为了实现这个目标,攻击者需要使用一个钱包地址:1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ

1、攻击者需要将IP地址中的每一个八元位从十进制转换为十六进制:

185.203.116.47 => B9.CB.74.2F

2、攻击者获取前两个八元位,即B9和CB,然后将它们两个反向合并为:

B9.CB => CBB9

3、接下来,攻击者将它们从十六进制转回成十进制:

CBB9 ==> 52153

然后,攻击者需要进行首次交易操作,将0.00052153个比特币(约值4美元)交易到目标钱包地址:

1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ

4、攻击者获取最后两个八元位。74和2F,然后将它们两个反向合并为:

74.2F => 2F74

5、攻击者将它们从十六进制转回成十进制:

2F74==> 12148

然后,攻击者需要进行第二次交易操作,将0.00012148个比特币(约值1美元)交易到目标钱包地址:

1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ

Redaman恶意软件如何获取动态隐藏的C&C服务器IP地址?

Redaman会根据上述介绍的算法进行反向计算并获取到隐藏其中的IP地址。

1、Redaman首先会发送一个GET请求来获取硬编码比特币钱包地址1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ的最后十条交易记录,请求如下:

https://api.blockcypher.com/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=10

2、攻击者会获取比特币钱包52153和12148的最后两条支付交易记录。

3、将交易的十进制值转换为十六进制:

52153==>CBB9和12148==>2F74

4、将十六进制值切分为高位字节和低位字节,修改字节顺序并转换回十进制:

B9==>185, CB==>203, 74==>116, 2F==>47

5、最后,将这些值合并为隐藏的C&C服务器IP地址:

185.203.116.47

总结

在这篇文章中,我们介绍了Redaman如何高效地将动态C&C服务器IP地址高效地隐藏在比特币区块链中。跟以往基于硬编码或静态编码IP地址来设置C&C服务器的方法相比,这种技术更加难以检测和防御。

入侵威胁指标IoC

C&C服务器地址

Redaman样本

cf9c74ed67a4fbe89ab77643f3acbd98b14d5568 c098dc7c06e0da8f6e2551f262375713ba87ca05 3933f8309824a9127dde97b9c0f5459b06fd6c13 817bd8fff5b026ba74852955eb5f84244a92e098 51c7a774a0616b4611966d6d4f783c1164c9fa50 44b6627acd5b2c601443c55d2e44ae4298381720 d9fb2504008345af97b0e400706cdaa406476314 bbdce69acc6101c1f61748c91010c579625ef758 3f2b758122c0d180ccfba03b74b593854f2b0e86 9d7b264367320da38c94be1f940c663375d67a2a

比特币钱包地址

1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ

*参考来源:checkpoint,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 区块链上网络拓扑与数据存储的原理是什么?

    没有实践就没有发言权,区块链上的数据存储一直是大家疑惑的,网络拓扑上每个节点加入后数据如何存储,如何更新成为一个人们关心的问题。

    机器思维研究院
  • 两个女孩全程不带现金,只付加密货币几乎游遍大半个国家是一种什么体验?

    巴西阿雷格里港的两个女孩 Caroline 和 Kaká 启动了一个名为“靠加密货币生活”的项目,开启了一段只使用加密货币付款的挑战之旅。

    区块链大本营
  • CPU、GPU、FPGA、ASIC,区块链挖矿技术哪家强?

    区块链火了!10月24日,中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习,明确区块链技术的集成应用在新的技术革新和产业变革中所起到的重要作用。

    PP鲁
  • 回顾2019——区块链行业年度十大关键词,哪些词上榜了?

    其中“区块链”也上榜了!!文中表示,区块链是一个信息技术领域的术语。从本质上讲,它是一个共享数据库,存储于其中的数据或信息,具有“不可伪造”、“全程留痕”、“可...

    区块链科技
  • 2019年区块链安全事件总结,全球损失超60亿美元 | 盘点

    随着现代化信息技术和应用的快速发展,数字资产这种以计算机信息技术为基础的货币形式应运而生。其可追溯、防伪造、防篡改的特性,提升了交易安全性,2019年已成为业界...

    区块链大本营
  • 超火动态价格面积图:手把手教你!

    近日,公众号推出了一篇名为《超火动态排序图:代码不到40行,手把手教你!》的文章,反向十分强烈。各大公众号进行的了转载,知乎也是有400+的点赞。

    量化投资与机器学习微信公众号
  • 几大 Git 平台仓库被劫,黑客欲勒索比特币

    攻击于5月3日开始,包括 GitHub、Bitbucket 和 GitLab 在内的代码托管平台都受到了影响。

    用户1457246
  • 闪电网络实操,从最简单的比特币第二层闪电网络付款开始

    我们将会使用命令行工具,因为我发现这是使用网络的最可靠的方法,同时也可以让你对网络的运行方式有更加深入的了解。

    区块链大本营
  • 揭秘区块链的核心技术之「哈希与加密算法 」

    大家都知道,区块链的关键技术组成主要为:P2P网络协议、共识机制、密码学技术、账户与存储模型。而这些技术中,又以 密码学与共识机制 这两点为最核心。那么今天我们...

    黄泽杰

扫码关注云+社区

领取腾讯云代金券