Kryptowaluty

Blockchain Bitcoin pomaga w zapobieganiu likwidacji botnetu

Rzędy robotów w stylu lat 50-tych obsługują stanowiska komputerowe.

Kiedy hakerzy przenoszą zainfekowane komputery do botnetu, zwracają szczególną uwagę, aby nie stracić kontroli nad serwerem, który wysyła polecenia i aktualizacje do zaatakowanych urządzeń. Środki ostrożności mają na celu powstrzymanie obrońców bezpieczeństwa, którzy rutynowo rozmontowują botnety, przejmując serwer dowodzenia i kontroli, który nimi zarządza w procesie znanym jako lej.

Niedawno botnet, który badacze śledzili od około dwóch lat, zaczął stosować nowy sposób zapobiegania blokadom serwerów typu „Command and Control”: kamuflując jeden ze swoich adresów IP w łańcuchu bloków bitcoin.

Niemożliwe do zablokowania, ocenzurowania lub usunięcia

Gdy wszystko działa normalnie, zainfekowane maszyny zgłaszają się do podłączonego na stałe serwera sterującego, aby otrzymywać instrukcje i aktualizacje złośliwego oprogramowania. Jednak w przypadku, gdy serwer zostanie zatopiony, botnet znajdzie adres IP serwera zapasowego zakodowany w łańcuchu bloków bitcoin, zdecentralizowanej księdze, która śledzi wszystkie transakcje dokonywane za pomocą cyfrowej waluty.

Mając serwer, na którym botnet może zostać ponownie wykorzystany, operatorzy zapobiegają osieroceniu zainfekowanych systemów. Przechowywanie adresu w łańcuchu bloków gwarantuje, że nigdy nie można go zmienić, usunąć ani zablokować, jak ma to czasami miejsce, gdy hakerzy używają bardziej tradycyjnych metod tworzenia kopii zapasowych.

„Różnica polega na tym, że zazwyczaj w takich przypadkach na szczycie siedziby jakiś scentralizowany organ” – powiedział Chad Seaman, badacz w Akamai, sieci dostarczania treści, która dokonała odkrycia. „W tym przypadku używają zdecentralizowanego systemu. Nie możesz tego zdjąć. Nie możesz tego cenzurować. Jest tutaj.”

Konwersja wartości Satoshi

Adres protokołu internetowego to numeryczna etykieta odwzorowująca lokalizację sieciową urządzeń podłączonych do Internetu. Adres IP w wersji 4 to 32-bitowa liczba przechowywana w czterech oktetach. Na przykład aktualny adres IP witryny arstechnica.com to 18.190.81.75, z każdym oktetem oddzielonym kropką. (Adresy IPv6 są poza zakresem tego postu).

Botnet obserwowany przez Akamai przechował adres IP serwera zapasowego w dwóch ostatnich transakcjach przesłanych na 1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq, wybrany przez operatorów adres portfela bitcoin. Najnowsza transakcja zawierała trzeci i czwarty oktet, podczas gdy druga ostatnia transakcja zawierała pierwszy i drugi oktet.

Oktety są zakodowane w transakcji jako „wartość Satoshi”, która jest stumilionową częścią bitcoina (0,00000001 BTC) i obecnie najmniejszą jednostką waluty bitcoin, jaką można zarejestrować na łańcuchu bloków. Aby zdekodować adres IP, złośliwe oprogramowanie botnetu konwertuje każdą wartość Satoshi na reprezentację szesnastkową. Reprezentacja jest następnie dzielona na dwa bajty, z których każdy jest konwertowany na odpowiednią liczbę całkowitą.

Poniższy obraz przedstawia część skryptu bash, z którego korzysta złośliwe oprogramowanie w procesie konwersji. aa pokazuje adres portfela bitcoin wybrany przez operatorów, bb zawiera punkt końcowy, który wyszukuje dwie ostatnie transakcje, a cc pokazuje polecenia, które konwertują wartości Satoshi na adres IP serwera zapasowego.

Akamai

Gdyby skrypt został przekonwertowany na kod Pythona, wyglądałby tak:

Akamai

Wartości Satoshi w dwóch ostatnich transakcjach portfela to 6957 i 36305. Po konwersji adres IP to: 209.141.45.27

We wtorek na blogu naukowcy z Akamai wyjaśniają to w ten sposób:

Wiedząc o tym, spójrzmy na wartości tych transakcji i zamień je na oktety adresów IP. Ostatnia transakcja ma wartość 6,957 Satoshi, konwersja tej liczby całkowitej na jej reprezentację szesnastkową daje wartość 0x1b2d. Pobranie pierwszego bajtu (0x1b) i przekonwertowanie go na liczbę całkowitą daje w wyniku liczbę 45 – będzie to trzeci oktet naszego końcowego adresu IP. Biorąc drugi bajt (0x2d) i konwertując go na liczbę całkowitą, otrzymujemy liczbę 27, która stanie się czwartym oktetem w naszym ostatecznym adresie IP.

Ten sam proces jest wykonywany z drugą transakcją w celu uzyskania pierwszego i drugiego oktetu adresu IP C2. W tym przypadku wartość drugiej transakcji to 36 305 Satoshis. Ta wartość przekonwertowana na jej reprezentację szesnastkową daje wartość szesnastkową 0x8dd1. Pierwszy bajt (0x8d) i drugi bajt (0xd1) są następnie konwertowane na liczby całkowite. Daje to w wyniku liczby dziesiętne 141 i 209, które są odpowiednio drugim i pierwszym oktetem adresu C2 IP. Umieszczenie razem czterech wygenerowanych oktetów w odpowiedniej kolejności daje ostateczny adres IP C2 równy 209.141.45.27.

Oto przedstawienie procesu konwersji:

Akamai

Niezupełnie nowy

Podczas gdy badacze Akamai twierdzą, że nigdy wcześniej nie widzieli botnetu na wolności wykorzystującego zdecentralizowany łańcuch bloków do przechowywania adresów serwerów, byli w stanie znaleźć te badania, które pokazują w pełni funkcjonalny serwer poleceń zbudowany na bazie łańcucha bloków dla kryptowaluty Ethereum.

„Wykorzystując łańcuch bloków jako pośredni, infrastruktura jest praktycznie nie do zatrzymania, radząc sobie z większością niedociągnięć zwykłej złośliwej infrastruktury” – napisał Omer Zoha, badacz, który opracował sprawdzanie poprawności koncepcji serwera kontrolnego.

Przestępcy mieli już inne ukryte sposoby na zlokalizowanie serwerów dowodzenia przez zainfekowane boty. Na przykład VPNFilter, złośliwe oprogramowanie, którego rosyjscy hakerzy wykorzystali do zainfekowania 500 000 routerów domowych i małych biur w 2018 roku, polegał na wartościach GPS przechowywanych w obrazach przechowywanych na Photobucket.com, aby zlokalizować serwery, na których były dostępne późniejsze ładunki. W przypadku usunięcia obrazów VPNFilter użył metody tworzenia kopii zapasowych, która została osadzona na serwerze pod adresem ToKnowAll.com.

Złośliwe oprogramowanie firmy Turla, innej grupy hakerskiej wspieranej przez rosyjski rząd, zlokalizowało swój serwer kontrolny za pomocą komentarzy zamieszczonych na oficjalnym koncie Britney Spears na Instagramie.

Analizowany przez Akamai botnet wykorzystuje zasoby obliczeniowe i energię elektryczną zainfekowanych maszyn do wydobywania kryptowaluty Monero. W 2019 roku naukowcy z firmy Trend Micro opublikowali szczegółowy opis jego możliwości. Akamai szacuje, że przy obecnych cenach Monero botnet wydobywał cyfrową monetę o wartości około 43 000 USD.

Tani w zakłócaniu, kosztowny w przywracaniu

Teoretycznie zaciemnianie adresów serwerów sterujących w oparciu o łańcuch bloków może znacznie utrudnić usuwanie. W tym przypadku zakłócenia są proste, ponieważ wysłanie pojedynczego Satoshi do portfela atakującego zmieni adres IP obliczony przez złośliwe oprogramowanie botnetu.

Z Satoshi wycenianym na 0,004 centa (przynajmniej w czasie badań) 1 $ pozwoliłby na umieszczenie w portfelu 2500 transakcji zakłócających. W międzyczasie osoby atakujące musiałyby zdeponować 43 262 Satoshi, czyli około 16,50 USD, aby odzyskać kontrolę nad swoim botnetem.

Jest jeszcze jeden sposób na pokonanie miary odporności opartej na łańcuchu bloków. Środek rezerwowy jest aktywowany tylko wtedy, gdy główny serwer sterujący nie może nawiązać połączenia lub zwraca kod stanu HTTP inny niż 200 lub 405.

„Jeśli operatorzy lejów z powodzeniem wykopią główną infrastrukturę tych infekcji, muszą odpowiedzieć kodem statusu 200 dla wszystkich przychodzących żądań, aby zapobiec przejściu istniejącej infekcji na zapasowy adres IP BTC” – wyjaśniła Evyatar Saias, badaczka Akamai w Wtorkowy post.

„Istnieją pewne ulepszenia, które można wprowadzić, które wykluczyliśmy z tego artykułu, aby uniknąć przekazywania wskazówek i opinii twórcom botnetu” – dodał Saias. „Przyjęcie tej techniki może być bardzo problematyczne i prawdopodobnie zyska popularność w najbliższej przyszłości”.

Wpis zaktualizowany pod kątem poprawnej ilości wydobytego Monero i poprawnej pisowni Saias.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook