Akamais säkerhetsteam har hittat en ny kampanj där botnätutvecklare missbrukar Bitcoins blockchain-transaktioner för att dölja sina C2:s IP-adresser. Botnätet syftar till att bryta kryptovalutor för tillverkarna och skulle använda Bitcoin-plånboksadress, dess blockchain-API och bash one-liners för att infektera och återställa sina infekterade system till nätverket.
Ett blockkedja som missbrukar botnät
Botnät används ofta för olika ändamål som att distribuera DDoS-attacker eller bryta kryptovalutor, och de måste vara anslutna till hackarens C2 för att ta emot kommandon för att utföra önskad åtgärd enligt ovan. Dessa anslutningar är avgörande, eftersom de är de viktigaste målen för säkerhetspersonal och brottsbekämpande myndigheter för att ta bort botnätnätverken.
Att spåra dem är möjligt genom de IP-adresser de har, som så småningom visar serverns plats och ibland överföringsdata och kommandon. Därför hänger sig vita hattar ofta åt att hitta dessa IP-adresser till hackers C2 i sitt arbete. Men detta kan vara ett svårt jobb om hackaren ställer in backup på C2-servrar.
Detta praktiseras av en botnätgrupp som spåras av Akamai-forskaresom detaljerade kampanjen börjar med att utnyttja RCE-sårbarheterna i Elasticsearch eller Hadoop garn. De distribuerar sedan skript för att installera Redis-serverskannrar och hitta ytterligare Redis-mål.
Mekanismen för uthållighet
Detta hjälper dem att installera Skidmap mining malware för att bryta kryptovalutor och döda befintliga gruvarbetare, ändra SSH-nycklar och till och med inaktivera säkerhetsfunktioner. Cron-jobb och rootkits används för att upprätthålla uthållighet. Men för att återta de förlorade värdarna i nätverket bör författare koppla sina bots till en domän eller en statisk IP-adress.
Och det här är vad säkerhetsstyrkorna lätt siktar på för att hjälpa dem ta ner botnätet. Således, Det visar sig att författarna till denna kampanj har satt upp en backup C2 och uppdaterar värdarna för att ansluta dem till deras nya (backup) C2. Forskare upptäckte en BTC-plånboksadress, en URL för ett API för plånbokskontroll och fyra bash one-liners.
Läs också – Ransomware-grupper har tjänat mer än 350 miljoner dollar 2020
Alla dessa hjälper dem att byta till en ny C2-server för uthållighet. Som de skrev, hämtas plånboksdata av API:et för att beräkna en IP-adress, vilket är den nya (backup) C2:s adress. Denna metod hjälper dem att lagra (och även fördunkla) konfigurationsdata på blockkedjan.
Den här tekniken är fantastisk, men har fortfarande lite utrymme att utvecklas, säger forskare. Även om de inte förklarade var författarna kan förbättra, de drog slutsatsen att tillverkarna har tjänat mer än $30 000 värda Monero hittills med detta system.