С помощью блокчейна операторы ботнетов прячут IP-адреса резервных C C-серверов.
Специалисты ИБ-компании Akamai рассказали о ботнете для майнинга криптовалюты, использующем для маскировки биткойн-транзакции.
Описанный исследователями метод обфускации используется операторами длительной вредоносной кампании по добыче криптовалюты, в которой транзакции блокчейна биткойна используются для сокрытия адресов резервных C&C-серверов.
Ботнет получает команды от своих операторов с C&C-серверов. Правоохранительные органы и службы безопасности постоянно находят и отключают эти серверы, тем самым срывая вредоносные операции. Однако, если операторы ботнетов используют резервные серверы, отключение может существенно усложниться. По словам специалистов, киберпреступники научились прятать IP-адреса C&C-серверов с помощью блокчейна – простой, но эффективный способ избежать отключения.
Атака начинается с эксплуатации уязвимостей удаленного выполнения кода в Hadoop Yarn и Elasticsearch, в том числе CVE-2015-1427 и CVE-2019-9082. В некоторых случаях вместо прямого взлома киберпреступники модифицируют уязвимости для создания сканера серверов Redis, с помощью которого они находят дополнительные установки Redis с целью майнинга криптовалюты.
В декабре специалисты Akamai обнаружили, что в новые варианты вредоносного ПО для криптомайнинга были добавлены адреса биткойн-кошельков. Кроме того, был обнаружен URL-адрес API проверки кошелька и однострочные команды bash, и похоже, что полученные API данные кошелька использовались для расчета IP-адреса. Этот IP-адрес затем используется для сохранения постоянства на атакуемой системе. По словам исследователей, получая адреса через API кошелька, операторы вредоносного ПО могут обфусцировать и хранить данные конфигурации в блокчейне.
Чтобы преобразовать данные кошелька в IP-адрес, операторы используют четыре однострочных скрипта bash для отправки HTTP-запроса API проводника блокчейна для данного кошелька, а затем значения Satoshi (наименьшее заранее определенное значение биткойна) из двух последних транзакций конвертируются в IP-адрес резервного C&C-сервера.
Одно найти легче, чем другое. Спойлер: это не темная материя