「網絡安全快報」黑客新技術：利用比特幣區塊鏈來隱藏C＆C服務器_區塊鏈

Redaman是通過網絡釣魚活動分發的一種銀行惡意軟件，主要針對俄語使用者。Redaman的新版本于2015年首次出現，并被報告為RTM銀行木馬，并于2017年和2018年出現。2019年9月，CheckPoint研究人員確定了一個新版本，該新版本將PonyC＆C服務器IP地址隱藏在比特幣區塊鏈中。

過去我們看到過其他使用比特幣區塊鏈隱藏其C＆C服務器IP地址的技術，但是我們將分享對新技術的分析。

該惡意軟件連接到比特幣區塊鏈和鏈接交易，以便找到隱藏的C＆C服務器。

感染鏈

Dune推出文件夾、鏈下數據上傳等新功能:7月18日消息，區塊鏈數據分析平臺Dune發布了一系列新功能，以提升團隊在Dune上的協作效率。新功能包括：1.文件夾：團隊現在可以以結構化的方式組織查詢和儀表；2.鏈下數據上傳：Dune現在允許用戶將自己的鏈下數據（如CSV文件）上傳到Dune并創建可查詢的表格；3.儀表板和查詢調度器：用戶現在可以根據自己的業務需求定期調度儀表板和查詢；4.查詢API端點：Plus和Premium團隊的用戶現在可以在DuneIDE之外創建、讀取、更新或存檔查詢。

這些新功能旨在簡化協作，自動化任務，并專注于挖掘重要的洞察。Dune表示，他們致力于支持團隊的長期發展，并根據用戶反饋推出更多以團隊為中心的功能。[2023/7/18 11:02:45]

攻擊者如何在比特幣區塊鏈中隱藏C＆C服務器

Hodlonaut贏得針對自封“中本聰”Craig Wright的訴訟:金色財經報道，挪威法官裁定，周四，在推特上被稱為“Hodlonaut”的Magnus Granath贏得了針對Craig Wright的誹謗案。經過一周的審判，Wright將支付Granath的律師費。Granath在挪威起訴Wright，試圖搶占Wright計劃在英國提起的誹謗訴訟。

金色財經此前報道，自稱是比特幣創造者的澳本聰（Craig Wright）在對加密人士Hodlonaut（真名Magnus Granath）提起的訴訟案中表示，他故意踩壞了包含中本聰錢包私鑰信息的硬盤，這使得從密碼學上證明他是比特幣的創造者“極其困難”。他在挪威法庭上稱，銷毀硬盤是避免其被迫這種方式證明自己身份的“唯一方法”，而他希望以學術成就等傳統方式確認他是中本聰，如果不這么做“人們最終會強迫我做我不想做的事情”。據悉，澳本聰自稱為中本聰一事，Hodlonaut一直持反對態度并提出懷疑。澳本聰對Hodlonaut發起訴訟，稱其涉嫌誹謗。[2022/10/21 16:33:16]

在這個真實的案例中，攻擊者想要隱藏IP18520311647

俄羅斯科技巨頭Rostec將測試在國際貿易中使用數字資產支付:9月12日消息，俄羅斯國有控股企業、制造業巨頭、科技公司Rostec將在國際貿易中測試數字資產支付。Rostec是俄羅斯最大的工業和技術集團，該公司正準備將加密貨幣整合到跨境交易中。其主要任務是減輕制裁對俄羅斯進出口商活動的不利影響。Rostec負責國家項目的總經理AnnaSharipova在本周東方經濟論壇上表示，該公司正在探索測試數字資產作為進出口支付手段的可能性。試點或將在符拉迪沃斯托克海岸外的RusskyIsland進行。（bitcoin.com）[2022/9/12 13:24:17]

為此，攻擊者使用錢包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ：

Meta 旗下 Facebook Reality Labs 部門第二季度虧損 28.1 億美元:金色財經報道，根據周三發布的收益報告，Meta Platforms (FB) 旗下 Facebook Reality Labs (FRL) 部門第二季度虧損 28.1 億美元，該部門包括增強現實和虛擬現實業務。根據 FactSet 的數據，這比第一季度的 29.6 億美元虧損略有好轉，也好于分析師對該部門本季度虧損 36.7 億美元的估計。

此外，FRL 第二季度的收入為 4.52 億美元，低于第一季度的 6.95 億美元。這只是 Meta 應用系列（包括 Facebook、Instagram 和 WhatsApp）本季度產生的 284 億美元收入的一小部分。該公司表示，預計 Reality Labs 第三季度的收入將繼續低于第二季度。[2022/7/28 2:42:31]

1、攻擊者將IP地址的每個八位字節從十進制轉換為十六進制：18520311647=>B9CB742F

2、攻擊者獲取前兩個八位字節B9和CB并以相反的順序B9組合它們。CB=>CBB9

3、然后，攻擊者將十六進制轉換為十進制CBB9==>52153。

他將對1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ錢包進行的第一筆交易是000052153BTC4、攻擊者獲取最后2個八位位組74和2F，并以相反的順序組合它們742F=>2F74

5、攻擊者將十六進制轉換為十進制2F74==>12148。

000012148BTC是他將對1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ錢包進行的第二筆交易

圖1–金額為000052153和000012148BTC的關聯交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0

Redaman惡意軟件如何揭示動態隱藏的C＆C服務器IP

Redaman與上述算法相反。

1、Redaman發送GET請求以獲取硬編碼比特幣錢包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十筆交易

hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它將最后兩次付款交易的值帶到比特幣錢包52153和12148。

3、將事務的十進制值轉換為十六進制52153==>CBB9和12148==>2F74。

4、將十六進制值拆分為低字節和高字節，更改順序并將其轉換回十進制。B9==>185，CB==>203，74==>116，2F==>47

5、這些值共同組合了隱藏的C＆C服務器IP18520311647的IP地址。

圖2–計算C＆C服務器IP的實際代碼，您可以在“轉儲1”中看到C＆C服務器IP的十六進制值：B9CB742F

圖3–包含隱藏的C＆C服務器IP的Json響應

結論

在此博客中，我們描述了Redaman如何通過將動態C＆C服務器地址隱藏在比特幣區塊鏈中來提高效率。

與基于靜態/硬編碼IP地址的簡單C＆C設置相反，后者提供了一種簡便的方法來防御此類攻擊。

Tags：比特幣KNV區塊鏈比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢KNV幣KNV價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢

瑞波幣