从去年年底开始,有多少人因为不能便宜地购买最新一代的显卡而放置了升级和购买新电脑的计划?便宜的显卡去哪里了?据说比特币等数字货币的行情急剧增加,显卡被矿主采……但是,数字货币的热影响不仅仅是游戏玩家!根据Akamai的最新研究,盗用设备计算力挖掘数字现金的僵尸网络利用比特币交易隐藏自己的命令和控制(C2)服务器的IP地址,开始逃避检查和封锁。
小知识,命令和控制(C2)服务器是什么?
简单点来说,C2(Command&Control)服务器能够 看作是整个僵尸网络的大脑,能够 向网络僵尸主机发出攻击和其他操作指令。因此,只要获得这些服务器,整个僵尸网络就会被摧毁,因为僵尸主机不能接受新的攻击命令。因此,如何隐藏C2服务器逃避封锁成为黑客的重要目标。
最近,Akamai研究者在对AkamaiSIRT的定制蜜罐进行恶意软件感染研究时,发现了隐藏僵尸网络C2服务器的有趣方法。黑客开始创造性地利用比特币使用的块链技术隐藏C2服务器的IP地址。
感染过程。这个恶意软件的感染过程利用远程代码执行(RCE)的脆弱性,有脆弱性的计算机下载,执行恶意的Shell脚本。AkamaiSIRT追溯了蜜罐捕获的这种脚本的变体,发现这种攻击利用了很多公开的RCE脆弱性,主要包括HadoopYarn、Elasticseeelc(CVE-2014年-1427)和ThinkPHP(CVE-2020-9082)。
在过去的在过去的三年里,这次攻击盗用了感染设备的计算能力,开采了价值超过3万美元的门罗币。在此期间,产生了使用各种技术和工具的各种变体。这个Shell脚本比新的变体代码量更加简化,通过2进制负荷处理更多类型的系统交互,例如中止竞争对手的过程,禁止安全功能,修改SSH钥匙。