Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。
过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。
该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。
感染链
福布斯:揭秘Binance实际首席财务官,金库守护人Guangying Chen:6月15日消息,《福布斯》发表题为《CEO Changpeng「CZ」Zhao's mysterious associate Guangying Chen emerges as a key player in his company's operations, which are the subject of a recent lawsuit from the SEC》的文章,内容提及 Binance 高管 Guangying Chen(以下写为陈光英)控制的银行账户和担任 Binance 实体董事的数量比除 CEO CZ 之外的任何其他高管都多。她目前是 Binance 8 家主要公司的董事,并且是在 13 个国家/地区注册的 27 个实体的数十个银行账户的签署人,负责监督公司的财务,自 2019 年以来已处理 1480 亿美元存款和取款。
根据相关文件显示,自 2019 年以来,陈光英薪水达到了 3200 万美元,同时她还签署了 Binance 最重要的商业交易。[2023/6/15 21:37:18]
攻击者如何在比特币区块链中隐藏C&C服务器
美国SEC与Ripple诉讼案的关键Hinman文档即将公布:6月13日消息,推特用户询问Ripple首席执行官Brad Garlinghouse在“Hinman文件”发布之前有什么想法,Garlinghouse表示,我希望我现在就能深入了解,但我们已经等了这么久(18个多月),我不想越界,相信Stuart Alderoty(Ripple总法律顾问)和我相信这些文件值得等待。
据悉,美国SEC公司财务部前主任William Hinman系美国SEC与Ripple Labs诉讼案的关键因素。Hinman在2018年的演讲中解释了为什么他不认为加密货币比特币和以太坊是证券。
此前消息,美SEC与Ripple等联合要求法院延期一周至6月13日提交简易判决交叉动议的编辑版本,这其中包括美国证券交易委员会前财务部主任William Hinman的材料。[2023/6/13 21:33:44]
在这个真实的案例中,攻击者想要隐藏IP18520311647
俄罗斯国会官员:中央银行和财政部就比特币和加密采矿监管达成一致:金色财经报道,俄罗斯国会财政委员会主席表示,中央银行和财政部就比特币和加密采矿监管达成一致。[2022/12/6 21:24:34]
为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:
1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F
2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9
新一期北京高校高精尖创新中心项目经理人在京签约:11月6日消息,11月5日,新一期北京高校高精尖创新中心项目经理人在京签约。市教委、北京科技创新投资管理有限公司与北京大学、清华大学、北京航空航天大学、北京微芯区块链与边缘计算研究院达成协议,北京科技创新投资管理有限公司将作为高精尖创新中心项目经理人,推动区块链与隐私计算高精尖创新中心、集成电路高精尖创新中心建设。(北京日报)[2022/11/6 12:22:32]
3、然后,攻击者将十六进制转换为十进制CBB9==>52153。
他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74
5、攻击者将十六进制转换为十进制2F74==>12148。
000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易
图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0
Redaman恶意软件如何揭示动态隐藏的C&C服务器IP
Redaman与上述算法相反。
1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易
hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。
3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。
4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47
5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。
图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F
图3–包含隐藏的C&C服务器IP的Json响应
结论
在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。
与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。