图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中

图片[1]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

图片[2]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

简介

是一种通过网络钓鱼攻击传播的银行恶意软件比特币有服务器吗,主要攻击讲俄语的用户。它于 2015 年首次以 RTM 银行木马的形式出现,随后在 2017 年和 2018 年出现了新版本。 2019 年 9 月,Check Point 研究人员发现新版本在比特币区块链中隐藏了 Pony C2 服务器的 IP 地址。

过去,研究人员还发现攻击者在区块链中隐藏了 C2 服务器的 IP 地址。本文主要分析攻击中使用的新技术。

恶意软件将连接比特币区块链和链交易以找到隐藏的 C2 服务器。研究人员将这项新技术命名为。

图片[3]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

感染链

图片[4]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

图片[2]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

攻击者如何在比特币区块链中隐藏 C2 服务器?

本例中比特币有服务器吗,攻击者隐藏的IP地址为185.203.116.47

为此,攻击者使用了钱包地址:

1. 攻击者将IP地址从十进制转换为十六进制:185.203.116.47 => B9.CB.7 4.2F

2. 攻击者依次交换前两个八位字节 B9 和 CB 并将它们合并在一起:B9.CB => CBB9

3. 攻击者将十六进制转换为十进制:CBB9 ==> 52153

0. BTC(约 4 美元)是钱包进行的第一笔交易

4. 攻击者获取最后 2 个八位字节并将顺序交换为 1:74.2F => 2F74

5. 攻击者将十六进制转换为十进制:2F74==> 12148

0. BTC(约1美元)是钱包要进行的第二笔交易

图片[6]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

图1-A交易金额为0.和0.

比特币

图片[3]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

恶意软件如何解析动态隐藏的 C2 服务器 IP?

解析IP地址的方法和前面提到的正好相反:

1. 发送 GET 请求以获取硬编码钱包上的最后 10 笔交易:

2.获取比特币钱包最近两次支付交易的值:52153和12148。

3. 将交易的十进制值转成十六进制:52153==>CBB9, 12148==>2F74。

4. 将十六进制数据转置拼接,再转成十进制: B9==>185, CB==>203, 74==>116, 2F==> 47

5.这些值加在一起就成为了隐藏的C2服务器的IP地址:185.203.116.47.

图片[8]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

图2-计算C2服务器IP地址的代码

图片[9]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

图 3-隐藏 C2 服务器 IP 地址的 Json 响应

图片[2]-比特币有服务器吗-Pony C2 服务器隐藏在比特币区块链中-稻子网

结论

文章描述了如何在比特币区块链中高效隐藏动态C2服务器地址。相当于简单的通过静态或硬编码的IP地址设置C2,文章中介绍的新方法更难防范。

注:本文翻译自:

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片