Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。
过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。
该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。
感染链
观点:一旦发达市场监管确定,传统银行将主导稳定币市场:金色财经报道,专注于金融监管的高级政府关系主管Chris Hayes与SODA的首席执行官兼创始人Chris Ostrowski针对稳定币表示,随着对法定支持的稳定币的监管压力越来越大,美国和欧洲批发 CBDC 的潜在发展,以及消费者对加密货币市场安全的逃避,传统银行主导稳定币市场的市场时机已经成熟。一旦实现监管确定性,传统银行机构将做好进入稳定币领域的准备。
考虑到它们现有的合规和法律职能,传统金融机构有优势,甚至可能在开展稳定币业务方面得到银行监管机构的支持。此外,凭借其零售客户账户,银行拥有稳定币的内置用户类别。
由于监管护城河和现有基础设施,与 USDC 发行人 Circle 等新参与者相比,银行在稳定币方面的努力将具有更低的资金和客户获取成本。他们完全有动力通过在区块链上进行支付来为自己增加收入,而不是通过 Visa 和万事达卡等成熟的支付网络。
在美国,鉴于稳定币对传统金融体系的直接影响,拜登政府和现任众议院金融服务委员会主席的众议员麦克亨利的一项政策重点是寻找稳定币监管的前进道路。[2023/1/28 11:33:09]
攻击者如何在比特币区块链中隐藏C&C服务器
微型风险基金100X.VC完成第八批创企投资,含三家Web3初创公司:金色财经报道,微型风险投资基金 100X.VC 宣布完成第八批创企投资,涉及 25 家初创公司,总投资额约为 400 万美元,每家初创公司获得了约16 万美元投资,其中包括三家 Web3 初创公司,分别是:帮助交易平台、NFT 和 Token 整合到各类应用程序的 Web3 API 初创公司 Shyft,Web3 在线支付基础设施 AlpyneLabs、以及去中心化 Web3 跨链金融应用 Dolf。(inc42)[2023/1/22 11:26:08]
在这个真实的案例中,攻击者想要隐藏IP18520311647
数据:信标链ETH2合约地址质押数达1573万枚ETH:12月21日消息,根据Tokenview链上数据监测,当前信标链ETH2合约地址质押存款为15,731,783枚ETH,近一周增长72,416枚ETH。[2022/12/21 21:57:43]
为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:
1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F
2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9
Phantom澄清隐私政策:钱包和RPC合作伙伴均不能识别用户IP地址:12月7日消息,加密钱包Phantom在推特上表示,其已于12月2日进行了一次针对其关于用户IP地址的处理方法的审计,以回应社区近期对隐私的担忧。审计结果显示,Phantom钱包和其RPC合作伙伴均不能识别用户IP地址。Phantom称,当前的隐私政策中提到IP地址的部分主要是为了说明其如何使用站点分析来跟踪Phantom网站上的行为。Phantom表示正在迅速更新隐私政策,以明确区分其网站和钱包。
Phantom表示,其一直使用隐私代理从RPC请求中删除IP地址。其RPC合作伙伴从未能够识别用户,且Phantom的路线图将包括添加使用自定义RPC的能力。此外,Phantom无法识别特定用户或将IP地址绑定到钱包地址。Phantom一直都以完全匿名的方式追踪客户,用户可以选择退出。[2022/12/7 21:28:19]
3、然后,攻击者将十六进制转换为十进制CBB9==>52153。
他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74
5、攻击者将十六进制转换为十进制2F74==>12148。
000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易
图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0
Redaman恶意软件如何揭示动态隐藏的C&C服务器IP
Redaman与上述算法相反。
1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易
hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。
3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。
4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47
5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。
图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F
图3–包含隐藏的C&C服务器IP的Json响应
结论
在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。
与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。