隐藏在比特币区块链中的 Pony C2 服务器

介绍

Redaman 是一种银行恶意软件，主要针对讲俄语的用户进行网络钓鱼攻击。 2015 年首次作为 RTM 银行木马出现，之后新版本的 Redaman 分别于 2017 年和 2018 年出现。2019 年 9 月，Check Point 研究人员发现新版本的 Redama 隐藏了比特币区块链中的 Pony C2 服务器 IP 地址。

过去区块链中比特币的发明者是谁，研究人员还发现一些攻击者将 C2 服务器 IP 地址隐藏在区块链中。 本文主要分析攻击活动中使用的新技术。

该恶意软件连接到比特币区块链和链式交易以找到隐藏的 C2 服务器，研究人员将这项新技术称为 Chaining。

传染链

攻击者如何在比特币区块链中隐藏 C2 服务器？

在这个例子中区块链中比特币的发明者是谁，攻击者的隐藏IP地址是185.203.116.47

为此，攻击者使用了钱包地址 1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ：

1、攻击者将IP地址从十进制转换为十六进制：185.203.116.47 => B9.CB.74.2F

2.攻击者交换前两个八位字节B9和CB的顺序并将它们融合在一起：B9.CB => CBB9

3.攻击者十六进制转十进制：CBB9 ==> 52153

0.00052153 BTC（约 4 美元）是钱包将进行的第一笔交易

4. 攻击者获得最后2个八位字节并交换顺序成为一个：74.2F => 2F74

5.攻击者十六进制转十进制：2F74==>12148

0.00012148 BTC（约合 1 美元）是钱包进行的第二笔交易

图 1 - 金额为 0.00052153 和 0.00012148 的交易

比特币

Redaman 恶意软件如何解析动态隐藏的 C2 服务器 IP？

Redaman解析IP地址的方法和前面说的刚好相反：

1. Redaman 发送 GET 请求以获取硬编码钱包 1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ 上的最后 10 笔交易：

2、获取比特币钱包上最后两次支付交易的值：52153和12148。

3、将交易的十进制值转换为十六进制：52153==>CBB9, 12148==>2F74。

4、将十六进制数据转置拼接，再转为十进制：B9==>185,CB==>203,74==>116,2F==>47

5.这些值加起来就成了隐藏C2服务器的IP地址：185.203.116.47。

图 2 – 计算 C2 服务器 IP 地址的代码

图 3 – 带有隐藏 C2 服务器 IP 地址的 Json 响应

综上所述

该论文描述了 Redaman 如何有效地隐藏比特币区块链中的动态 C2 服务器地址。 相当于简单地通过静态或硬编码的IP地址设置C2，本文介绍的新方法更难防范。

注：本文翻译自：