利用比特币区块链来隐藏恶意活动

些攻击活动中，远程代码执行漏洞被利用来创建Redis 服务器的扫描器来找出其他可以用于加密货币挖矿的Redis 目标。

然后在有漏洞的系统上部署一个shell 脚本来触发RCE 漏洞，此外还会部署Skidmap 挖矿恶意软件。该脚本可能还会kill 现有的挖矿机，修改SSH key，禁用安全特征。然后利用Cron job和 rootkit来实现驻留，并进一步分发恶意软件。为了维持和实现对目标系统的重感染，使用了域名和静态IP 地址，安全研究人员就是去识别和发现这些地址。僵尸网络运营者考虑到域名和IP 地址可能会被识别和取缔，因此使用了备份基础设施。

2020年12月，Akamai 研究人员发现一个加密货币挖矿恶意软件变种中包含一个BTC 钱包地址。此外，还发现了一个钱包地址API的 URL，研究人员分析发现该API 取回的钱包数据可能被用来计算IP 地址。然后该IP 地址会被用来实现驻留。研究人员称通过钱包API 取回地址后，恶意软件的运营者能够混淆和隐藏区块链上的配置数据。

只需要将少量的比特币放到比特币钱包中，就可以恢复受破坏的僵尸网络系统。研究人员称攻击者设计了一种非常有效、不会被发现和被抓的配置信息分发方法。

为将钱包数据转化为IP 地址，僵尸网络运营者使用了4个bash 脚本来发送到给定钱包地址的HTTP 请求到区块链浏览器API，然后最近的2个交易的聪值就会转化为备份C2 IP地址。

感染使用钱包地址作为类DNS 记录，交易值是A 记录类型。如下图所示，变量aa中包含有比特币钱包地址，变量bb 中含有返回最近2个交易的API，最近的2个交易会被用来生成IP 地址，变量cc含有最终生成的C2 IP地址。

（编辑：文章分享网_茂名站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!