KNV:「網絡安全快報」黑客新技術：利用比特幣區塊鏈來隱藏C＆C服務器_KNV價格區塊鏈工程專業學什么

Redaman是通過網絡釣魚活動分發的一種銀行惡意軟件，主要針對俄語使用者。Redaman的新版本于2015年首次出現，并被報告為RTM銀行木馬，并于2017年和2018年出現。2019年9月，CheckPoint研究人員確定了一個新版本，該新版本將PonyC＆C服務器IP地址隱藏在比特幣區塊鏈中。

過去我們看到過其他使用比特幣區塊鏈隱藏其C＆C服務器IP地址的技術，但是我們將分享對新技術的分析。

該惡意軟件連接到比特幣區塊鏈和鏈接交易，以便找到隱藏的C＆C服務器。

感染鏈

多個巨鯨在8月18日市場下跌后共計買入逾9萬枚ETH，約合1.48億美元:9月8日消息，據鏈上分析師余燼監測，在8月18日市場下跌后買入ETH的巨鯨地址的情況如下：

0x3ce....9c79買入32,101枚ETH（約合5308萬美元），均價為1654美元。

0xb15....8b2e（波段ETH高勝率巨鯨）買入19,507枚ETH（約合3187萬美元），均價為1634美元。

0x362....6ec7、0x8b9....8564買入12,165枚ETH（約合2000萬美元），均價為1644美元。

smartestmoney.eth買入11,242枚ETH（約合1862萬美元），均價為1657美元。

0x225....086e（1inch: Team Investment Fund Collection地址）買入9,132枚ETH（約合1500萬美元），均價為1644美元。

0x55c....cdaf買入6,127枚ETH（約合1000萬美元），均價為1648美元。[2023/9/8 13:27:11]

攻擊者如何在比特幣區塊鏈中隱藏C＆C服務器

Otherdeed for Otherside #2118以208ETH的價格成交:金色財經報道，數據顯示，Otherdeed for Otherside #2118以208ETH的價格成交。[2023/3/22 13:19:07]

在這個真實的案例中，攻擊者想要隱藏IP18520311647

為此，攻擊者使用錢包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ：

1、攻擊者將IP地址的每個八位字節從十進制轉換為十六進制：18520311647=>B9CB742F

Coin98 Labs 推出多鏈 NFT 市場 Dagora，提供 Launchpad、鑄幣等功能:3月14日消息，Coin98 Labs 推出多鏈 NFT 市場 Dagora，旨在擴展 Coin98 生態系統。該平臺提供 NFT 交易、 Launchpad、免費 NFT 鑄幣（Hot Drops）等功能。

據悉，Dagora 在軟啟動期間將支持 Polygon、BSC 和 Solana 等網絡。[2023/3/14 13:03:42]

2、攻擊者獲取前兩個八位字節B9和CB并以相反的順序B9組合它們。CB=>CBB9

綠色和平組織抨擊比特幣，稱以太坊合并證明加密“不必以環境為代價”:金色財經報道，在以太坊（ETH）成功合并后，綠色和平組織（Greenpeace）抨擊比特幣（BTC）的能源使用。以太坊合并將其碳排放量削減了99% 以上。

該組織計劃為其“改變代碼，而不是氣候”的活動投入100萬美元，用于大量在線廣告，倡導改變比特幣的代碼，目的是減少BTC的工作量證明（PoW）模式。

廣告活動的負責人Michael Brune表示，州和聯邦領導人以及企業高管正在競相盡快實現脫碳。以太坊已經表明存在切換到一個高能效的協議的可能，氣候、空氣和水的污染要少得多。比特幣已經成為異類，輕蔑地拒絕接受氣候責任。（The Daily Hodl）[2022/9/18 7:03:46]

3、然后，攻擊者將十六進制轉換為十進制CBB9==>52153。

他將對1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ錢包進行的第一筆交易是000052153BTC4、攻擊者獲取最后2個八位位組74和2F，并以相反的順序組合它們742F=>2F74

5、攻擊者將十六進制轉換為十進制2F74==>12148。

000012148BTC是他將對1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ錢包進行的第二筆交易

圖1–金額為000052153和000012148BTC的關聯交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0

Redaman惡意軟件如何揭示動態隱藏的C＆C服務器IP

Redaman與上述算法相反。

1、Redaman發送GET請求以獲取硬編碼比特幣錢包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十筆交易

hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它將最后兩次付款交易的值帶到比特幣錢包52153和12148。

3、將事務的十進制值轉換為十六進制52153==>CBB9和12148==>2F74。

4、將十六進制值拆分為低字節和高字節，更改順序并將其轉換回十進制。B9==>185，CB==>203，74==>116，2F==>47

5、這些值共同組合了隱藏的C＆C服務器IP18520311647的IP地址。

圖2–計算C＆C服務器IP的實際代碼，您可以在“轉儲1”中看到C＆C服務器IP的十六進制值：B9CB742F

圖3–包含隱藏的C＆C服務器IP的Json響應

結論

在此博客中，我們描述了Redaman如何通過將動態C＆C服務器地址隱藏在比特幣區塊鏈中來提高效率。

與基于靜態/硬編碼IP地址的簡單C＆C設置相反，后者提供了一種簡便的方法來防御此類攻擊。

Tags：比特幣KNV區塊鏈比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢KNV幣KNV價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢

幣贏