Xavier's Blog一个安全工作者
Xavier's Blog一个安全工作者

通过区块链隐藏C2服务器地址

通过区块链隐藏C2服务器地址

Xavier Xavier 收录于 APT
 约 1300 字 预计阅读 3 分钟 - 次阅读  

本文由本人于2019年首发于圈子社区,文章性质为翻译国外技术文章。在本人技术博客作备份,防止丢失。

转载,原文链接:\
Pony’s C&C servers hidden inside the Bitcoin blockchain - Check Point Research

0x01 Introduction

Redaman 是一种银行恶意软件,主要分布在各种针对俄罗斯语言使用者开展的钓鱼活动中。最早出现在2015年被称为RTM银行木马, 2017和2018年出现新版本的Redaman。在2019年9月,Check Point 的研究者们鉴别出了一种能够在比特币区块链中隐藏Pony C&C服务器地址的新变种。

我们已经见过利用比特币区块链来隐藏C&C服务器IP地址的技术,但在本篇文章中,我们将分享对一种新技术的分析。

这个恶意软件将会通过连接比特币区块链和交易链来寻找隐藏的C&C地址,我们把这种新的技术称之为 Chaining。

0x02 Infection chain

file

2.1 攻击者如何在比特币区块链中隐藏C&C服务器?

在这个实例中,攻击者想要隐藏的ip为 185.203.116.47

为了实现这一效果,攻击张将会使用钱包 1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:

  1. 攻击者将ip地址从10进制转化为16进制: 185.203.116.47 => B9.CB.74.2F
  2. 攻击者取前两个字节B9和CB,然后以相反的顺序将他们组合到一起:B9.CB => CBB9
  3. 攻击者将该字符串从十六进制转化回十进制, CBB9 ==> 52153.
    • 0.00052153 BTC (约 4$) 这是他要通过钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ 做的第一笔交易;
  4. 攻击者取IP地址的后两个字节 74 和2F,然后以相反的顺序将他们组合到一起: 74.2F => 2F74
  5. 攻击者将该字符串从十六进制转化回十进制, 2F74 ==> 12148.
    • 0.00012148 BTC (约 1$) 这是他要通过钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ 做的第二笔交易;
      file
      图 1 – 0.00052153 and 0.00012148 BTC的相关交易记录

2.2 Redaman 恶意软件如何识别动态隐藏的C&C服务器IP

Redaman 做的操作与上述算法相反.

  1. Redaman 发送一个 GET 请求来获取硬编码的比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ的最近10条交易记录
    • https://api.blockcypher.com/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=10
  2. 它从该比特币钱包中获取最新的两条支付记录的交易金额 52153 和 12148.
  3. 将金额从十进制转化为16进制 52153==>CBB9 和 12148==>2F74.
  4. 将十六进制数值拆分为高字节和低字节,然后交换两者顺序并将其重新转换成十进制。 B9==>185, CB==>203, 74==>116, 2F==>47
  5. 这些值一起组成了隐藏的C&C服务器IP地址 185.203.116.47.

file
图 2 – 计算C&C服务器Ip的实际代码, 从 “Dump 1” 中你可以看到C&C服务器IP的十六进制值: B9 CB 74 2F (185.203.116.47)

file
图 3 – 含有隐藏C&C服务器IP的Json 返回包

0x03 Conclusion

在这篇文章中,我们介绍了Redaman 如何通过比特币区块链隐藏动态C&C服务器地址变得更有效的.

这不同于那些我们可以使用简单的方法来抵抗的基于静态/硬编码IP地址的简单C&C设置。

0x04 感染指标:

Hidden C&C servers

  • 185.203.116.47 35.216.185.203 78.108.216.39 100.66.91.200 72.50.91.200
  • 117.49.185.203 170.51.35.216 91.200.78.108 69.5.100.66 185.234.72.50
  • 185.203.117.49 118.16.170.51 103.136.91.200 91.200.69.5 150.254.185.234
  • 119.169.185.203 94.156.118.16 100.174.103.136 54.151.91.200 212.73.150.254
  • 185.177.119.169 85.217.94.156 91.200.102.39 172.104.54.151 227.99.212.73
  • 185.203.185.177 35.216.85.217 91.200.103.136 69.5.172.104 195.123.227.99
  • 171.48.185.203 94.156.35.216 216.39.91.200 172.105.69.5
  • 59.149.171.48 119.18.94.156 100.134.78.108 100.134.172.105
  • 85.217.59.149 170.51.185.203 91.200.100.134 91.200.100.66
  • 119.169.85.217 85.217.170.51 100.136.91.200 195.123.91.200
  • 185.203.119.169 118.16.85.217 91.200.100.136 185.234.195.123
  • 85.217.171.48 185.203.118.16 100.134.91.200 72.50.185.234
  • 59.149.85.217 91.200.185.203 172.105.100.134 212.73.72.50
  • 185.177.59.149 100.174.91.200 54.151.172.105 100.136.212.73
  • 119.18.185.177 91.200.100.174 100.136.54.151 227.99.91.200
  • 185.203.119.18 102.39.91.200 172.104.91.200 150.254.227.99
  • 185.203.185.203 216.39.102.39 91.200.172.104 100.136.150.254

Redaman 样本

  • cf9c74ed67a4fbe89ab77643f3acbd98b14d5568
  • c098dc7c06e0da8f6e2551f262375713ba87ca05
  • 3933f8309824a9127dde97b9c0f5459b06fd6c13
  • 817bd8fff5b026ba74852955eb5f84244a92e098
  • 51c7a774a0616b4611966d6d4f783c1164c9fa50
  • 44b6627acd5b2c601443c55d2e44ae4298381720
  • d9fb2504008345af97b0e400706cdaa406476314
  • bbdce69acc6101c1f61748c91010c579625ef758
  • 3f2b758122c0d180ccfba03b74b593854f2b0e86
  • 9d7b264367320da38c94be1f940c663375d67a2a

Bitcoin wallet

1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ – 该钱包尚未被任何区块链数据库标记为恶意,但Check Point 已经“控告”了它.

更新于 2019-10-20 
APTRedTeam
返回 | 主页
0%