Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。
过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。
该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。
感染链
数据:Rocket Pool于24日创下最大单日赎回纪录,共赎回6720枚rETH:7月27日消息,据Dune数据信息,LSD协议Rocket Pool于7月24日创下最大单日赎回纪录,共赎回6720枚rETH。链上信息显示,某位巨鲸于当日赎回约6473枚rETH(价值约合1230万美元)。该巨鲸随后将该笔资金转入Binance。[2023/7/27 16:02:24]
攻击者如何在比特币区块链中隐藏C&C服务器
在这个真实的案例中,攻击者想要隐藏IP18520311647
为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:
以太坊侧链Gnosis执行层网络与共识层网络成功合并:金色财经报道,以太坊侧链Gnosis宣布在区块高度6,306,357上,Gnosis 执行层网络与共识层网络成功合并。Gnosis Merge 将由 20 个验证者保护的权威证明 (PoA) 共识替换为支持新 PoS 网络的更有弹性的 100,000 个验证者。[2022/12/15 21:45:12]
1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F
2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9
JPEX荣获迪拜CryptoExpo2022最佳存款(Staking)平台:据官方消息,迪拜加密货币博览会CryptoExpo2022,加密资产服务平台JPEX荣获本次博览会 \"2022 The Best Staking Platform”大奖,该奖项是JPEX生态发展历程中的一个新里程碑。此外,JPEX已推出投选卡塔尔世界杯冠军球队活动,用户可通过质押JPEX平台币JPC获得投票机会。
据悉,JPEX是一家澳洲交易所,由来自日本、澳大利亚、美国等多个国家的开发团队共同维护,获得美国、加拿大等多国金融牌照。此外,JPEX也是Macarthur FC、Western Sydney Wanderers FC 以及Western United FC等知名足球俱乐部的加密合作伙伴。[2022/10/11 10:30:37]
3、然后,攻击者将十六进制转换为十进制CBB9==>52153。
数据:以太坊合并进度已完成99.74%,ETH全网平均算力连跌4日:金色财经报道,据OKLink多链浏览器“以太坊合并倒计时”数据显示,当前以太坊合并进度已完成99.74%,按照当前网络情况计算,合并将如期于9月15日进行。当前以太坊全网算力874.31TH/S,自9月8日以来连跌4日。其中Top5 矿池拥有538.29TH/S算力,占比全网算力 92.95%。[2022/9/13 13:25:36]
他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74
5、攻击者将十六进制转换为十进制2F74==>12148。
000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易
图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0
Redaman恶意软件如何揭示动态隐藏的C&C服务器IP
Redaman与上述算法相反。
1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易
hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。
3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。
4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47
5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。
图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F
图3–包含隐藏的C&C服务器IP的Json响应
结论
在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。
与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。
标签:比特币KNV区块链比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势KNV币KNV价格区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势
00:42封面新闻记者熊英英 12月2日,海南区块链试验区宣布将发布“链上海南”计划,加快推动区块链技术和产业发展。与此同时,一场关于虚拟货币非法活动的“围剿”正在全国各地展开.
1900/1/1 0:00:00写在前面:本文作者为投资公司OutlierVentures的分析师JoelJohn。他在文章中分析了主流稳定币在2019年的交易情况,得出的结论为:尽管USDT依然占据重要地位,但DAI是除US.
1900/1/1 0:00:00文|周文怡编辑|毕彤彤来源|PANews PA月报Inghts: 全球区块链行业发生融资事件超83起,涉及资金总额超10.1228亿美元.
1900/1/1 0:00:00八宝饭财经早讯2019年12月27日星期五八宝饭财经早讯,区块链营养早餐八宝粥已经送达,外汇局鼓励银行机构探索区块链,甘孜州矿场清理会议仅为收集意见;BTC在7200美元附近窄幅调整.
1900/1/1 0:00:00最近的加密货币市场令人失望。低迷的比特币价格走势加剧了整体的抛售活动。不过,随着预计中的BTC明年爆炸式增长,一切都或许将迎来可喜的变化.
1900/1/1 0:00:00健康小零食,减脂又解馋,我拿它做减肥零食,咸口甜口你说了算 十月贴秋膘,对于正在健身减肥减脂的我来说,进入秋天,天气降温,想要保持夏天那样运动一小时就大汗淋漓的痛快感.
1900/1/1 0:00:00