Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。
过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。
该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。
感染链
Chaos Labs发起两项Aave提案以应对Curve创始人借贷头寸的清算风险:8月11日消息,区块链安全机构Chaos Labs在Aave治理论坛发起两项提案,旨在应对Curve创始人Michael Egorov在Aave上的大量借贷头寸带来的系统性清算风险。其中,一项AIP提案建议禁用以太坊和Polygon V3的CRV借贷,另一项提案提议将Aave V2以太坊上的CRV清算阈值(LT)降低6%,目前两项提案支持率均为100%。[2023/8/11 16:19:57]
攻击者如何在比特币区块链中隐藏C&C服务器
在这个真实的案例中,攻击者想要隐藏IP18520311647
美元指数DXY跌破100整数关口:金色财经报道,美元指数DXY跌破100整数关口。[2023/7/13 10:53:30]
为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:
1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F
2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9
3、然后,攻击者将十六进制转换为十进制CBB9==>52153。
Lido已上线以太坊提款用户界面,领取需1至5天:5月23日消息,流动性质押协议Lido在推特上表示,用户现在可以直接通过Lido用户界面(UI)取消质押stETH/wstETH。
提出提款请求的步骤为:1.访问提款页面;2. 按“请求”选项卡;3.选择stETH或wstETH的数量;4. 按“请求提款”;5.确认交易。提款请求由NFT表示,当请求准备好被认领时,NFT将发生变化。在领取ETH后,NFT将被销毁。用户可以出售该NFT,但如果将NFT出售或转移到您无法控制的账户,将无法领取提款,强烈建议不要以低于领取价值出售NFT。
领取提款的步骤为:1.等待1至5天;2.访问提款页面;3.点击Claim选项。需要注意的是,在特殊情况下,提款时间可能需要更长的时间。
此外,若要跳过提款队列并在几分钟内退出stETH,可以选择使用支持的DeFi聚合器将stETH/wstETH兑换为ETH,确切的stETH/ETH比率可能因时间和聚合器而异。[2023/5/23 15:20:21]
他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74
美联储FOMC声明:需要继续加息,直到利率达到足够限制性的水平:11月3日消息,美联储FOMC声明,就业增长强劲,失业率保持在低位。需要继续加息,直到利率达到足够限制性的水平。将在(制定政策时)考虑累积紧缩和滞后效应。[2022/11/3 12:11:14]
5、攻击者将十六进制转换为十进制2F74==>12148。
000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易
图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0
Redaman恶意软件如何揭示动态隐藏的C&C服务器IP
Redaman与上述算法相反。
1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易
hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。
3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。
4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47
5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。
图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F
图3–包含隐藏的C&C服务器IP的Json响应
结论
在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。
与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。