比特币:「网络安全快报」黑客新技术：利用比特币区块链来隐藏C＆C服务器

Redaman是通过网络钓鱼活动分发的一种银行恶意软件，主要针对俄语使用者。Redaman的新版本于2015年首次出现，并被报告为RTM银行木马，并于2017年和2018年出现。2019年9月，CheckPoint研究人员确定了一个新版本，该新版本将PonyC＆C服务器IP地址隐藏在比特币区块链中。

过去我们看到过其他使用比特币区块链隐藏其C＆C服务器IP地址的技术，但是我们将分享对新技术的分析。

该恶意软件连接到比特币区块链和链接交易，以便找到隐藏的C＆C服务器。

感染链

数据：Rocket Pool于24日创下最大单日赎回纪录，共赎回6720枚rETH:7月27日消息，据Dune数据信息，LSD协议Rocket Pool于7月24日创下最大单日赎回纪录，共赎回6720枚rETH。链上信息显示，某位巨鲸于当日赎回约6473枚rETH（价值约合1230万美元）。该巨鲸随后将该笔资金转入Binance。[2023/7/27 16:02:24]

攻击者如何在比特币区块链中隐藏C＆C服务器

在这个真实的案例中，攻击者想要隐藏IP18520311647

为此，攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ：

以太坊侧链Gnosis执行层网络与共识层网络成功合并:金色财经报道，以太坊侧链Gnosis宣布在区块高度6,306,357上，Gnosis 执行层网络与共识层网络成功合并。Gnosis Merge 将由 20 个验证者保护的权威证明 (PoA) 共识替换为支持新 PoS 网络的更有弹性的 100,000 个验证者。[2022/12/15 21:45:12]

1、攻击者将IP地址的每个八位字节从十进制转换为十六进制：18520311647=>B9CB742F

2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9

JPEX荣获迪拜CryptoExpo2022最佳存款（Staking）平台:据官方消息，迪拜加密货币博览会CryptoExpo2022，加密资产服务平台JPEX荣获本次博览会 \"2022 The Best Staking Platform”大奖，该奖项是JPEX生态发展历程中的一个新里程碑。此外，JPEX已推出投选卡塔尔世界杯冠军球队活动，用户可通过质押JPEX平台币JPC获得投票机会。

据悉，JPEX是一家澳洲交易所，由来自日本、澳大利亚、美国等多个国家的开发团队共同维护，获得美国、加拿大等多国金融牌照。此外，JPEX也是Macarthur FC、Western Sydney Wanderers FC 以及Western United FC等知名足球俱乐部的加密合作伙伴。[2022/10/11 10:30:37]

3、然后，攻击者将十六进制转换为十进制CBB9==>52153。

数据：以太坊合并进度已完成99.74%，ETH全网平均算力连跌4日:金色财经报道，据OKLink多链浏览器“以太坊合并倒计时”数据显示，当前以太坊合并进度已完成99.74%，按照当前网络情况计算，合并将如期于9月15日进行。当前以太坊全网算力874.31TH/S，自9月8日以来连跌4日。其中Top5 矿池拥有538.29TH/S算力，占比全网算力 92.95%。[2022/9/13 13:25:36]

他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F，并以相反的顺序组合它们742F=>2F74

5、攻击者将十六进制转换为十进制2F74==>12148。

000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易

图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0

Redaman恶意软件如何揭示动态隐藏的C＆C服务器IP

Redaman与上述算法相反。

1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易

hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。

3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。

4、将十六进制值拆分为低字节和高字节，更改顺序并将其转换回十进制。B9==>185，CB==>203，74==>116，2F==>47

5、这些值共同组合了隐藏的C＆C服务器IP18520311647的IP地址。

图2–计算C＆C服务器IP的实际代码，您可以在“转储1”中看到C＆C服务器IP的十六进制值：B9CB742F

图3–包含隐藏的C＆C服务器IP的Json响应

结论

在此博客中，我们描述了Redaman如何通过将动态C＆C服务器地址隐藏在比特币区块链中来提高效率。

与基于静态/硬编码IP地址的简单C＆C设置相反，后者提供了一种简便的方法来防御此类攻击。

标签：比特币KNV区块链比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势KNV币KNV价格区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势

欧易okex官网热门资讯