根據(jù)Akamai 的最新研究發(fā)現(xiàn)，有加密貨幣挖礦僵尸網(wǎng)絡運營者利用比特幣區(qū)塊鏈的交易來隱藏備份的C2 服務器地址，并繞過了對僵尸網(wǎng)絡的分析。

僵尸網(wǎng)絡利用C2 服務器來從攻擊者處接收命令。執(zhí)法機構(gòu)和安全研究人員也在不斷地發(fā)現(xiàn)和取締這些C2 服務器以達到破壞僵尸網(wǎng)絡的目的。但是一般僵尸網(wǎng)絡都會有備份的C2 地址，這使得破壞僵尸網(wǎng)絡非常的困難。

[[384518]]

Akamai分析發(fā)現(xiàn)，該僵尸網(wǎng)絡的運營者通過區(qū)塊鏈來隱藏備份的C2 IP地址。攻擊鏈是從影響Hadoop Yarn 和Elasticsearch的遠程代碼執(zhí)行漏洞CVE-2015-1427 和 CVE-2019-9082 開始的。在一些攻擊活動中，遠程代碼執(zhí)行漏洞被利用來創(chuàng)建Redis 服務器的掃描器來找出其他可以用于加密貨幣挖礦的Redis 目標。

然后在有漏洞的系統(tǒng)上部署一個shell 腳本來觸發(fā)RCE 漏洞，此外還會部署Skidmap 挖礦惡意軟件。該腳本可能還會kill 現(xiàn)有的挖礦機，修改SSH key，禁用安全特征。然后利用Cron job和 rootkit來實現(xiàn)駐留，并進一步分發(fā)惡意軟件。為了維持和實現(xiàn)對目標系統(tǒng)的重感染，使用了域名和靜態(tài)IP 地址，安全研究人員就是去識別和發(fā)現(xiàn)這些地址。僵尸網(wǎng)絡運營者考慮到域名和IP 地址可能會被識別和取締，因此使用了備份基礎設施。

2020年12月，Akamai 研究人員發(fā)現(xiàn)一個加密貨幣挖礦惡意軟件變種中包含一個BTC 錢包地址。此外，還發(fā)現(xiàn)了一個錢包地址API的 URL，研究人員分析發(fā)現(xiàn)該API 取回的錢包數(shù)據(jù)可能被用來計算IP 地址。然后該IP 地址會被用來實現(xiàn)駐留。研究人員稱通過錢包API 取回地址后，惡意軟件的運營者能夠混淆和隱藏區(qū)塊鏈上的配置數(shù)據(jù)。

只需要將少量的比特幣放到比特幣錢包中，就可以恢復受破壞的僵尸網(wǎng)絡系統(tǒng)。研究人員稱攻擊者設計了一種非常有效、不會被發(fā)現(xiàn)和被抓的配置信息分發(fā)方法。

為將錢包數(shù)據(jù)轉(zhuǎn)化為IP 地址，僵尸網(wǎng)絡運營者使用了4個bash 腳本來發(fā)送到給定錢包地址的HTTP 請求到區(qū)塊鏈瀏覽器API，然后最近的2個交易的聰值就會轉(zhuǎn)化為備份C2 IP地址。

感染使用錢包地址作為類DNS 記錄，交易值是A 記錄類型。如下圖所示，變量aa中包含有比特幣錢包地址，變量bb 中含有返回最近2個交易的API，最近的2個交易會被用來生成IP 地址，變量cc含有最終生成的C2 IP地址。

實現(xiàn)這一轉(zhuǎn)換的bash腳本如下：

將交易的聰值轉(zhuǎn)化為C2 IP地址的bash 腳本示例

Akamai預計該僵尸網(wǎng)絡運營者已經(jīng)挖到了價值3萬美元的門羅幣。研究人員分析稱，該技術(shù)的原理和應用都非常簡單，另外應用后難以檢測，因此未來可能會非常流行。

完整技術(shù)分析參見：https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html

本文翻譯自：https://www.zdnet.com/article/this-botnet-is-abusing-bitcoin-blockchains-to-stay-in-the-shadows/