Redaman是通过网络钓鱼活动分发的一种银行恶意软件,主要针对俄语使用者。Redaman的新版本于2015年首次出现,并被报告为RTM银行木马,并于2017年和2018年出现。2019年9月,CheckPoint研究人员确定了一个新版本,该新版本将PonyC&C服务器IP地址隐藏在比特币区块链中。
过去我们看到过其他使用比特币区块链隐藏其C&C服务器IP地址的技术,但是我们将分享对新技术的分析。
该恶意软件连接到比特币区块链和链接交易,以便找到隐藏的C&C服务器。
感染链
MicroStrategy股票价格年初至今上涨140%:金色财经报道,MicroStrategy公司股票MSTR年初至今大约上涨了140%,达到每股350美元,是去年9月以来的最高水平。它持有14万个BTC,价值42.6亿美元。[2023/4/19 14:12:09]
攻击者如何在比特币区块链中隐藏C&C服务器
在这个真实的案例中,攻击者想要隐藏IP18520311647
为此,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:
1、攻击者将IP地址的每个八位字节从十进制转换为十六进制:18520311647=>B9CB742F
Raydium黑客将270万美元的ETH转入Tornado Cash:金色财经报道,安全公司CertiK指出,1月19日,一个与Raydium漏洞利用相关的以太坊地址通过Tornado Cash转移了270万美元的ETH。
去年12月,建立在Solana区块链上的去中心化交易所Raydium遭到黑客攻击,损失了超过440万美元的不同资产。在破坏了为Raydium的智能合约提供支持的管理员帐户密钥后,黑客能够将Raydium的流动资金池 (LP) 代币撤回他们的控制之下。黑客后来将被盗资金转移到以太坊。[2023/1/19 11:21:37]
2、攻击者获取前两个八位字节B9和CB并以相反的顺序B9组合它们。CB=>CBB9
数据:持有超过32枚ETH的地址数量达历史最高值:金色财经报道,Glassnode数据显示,持有超过32枚ETH的地址数量达历史最高值,数值为127,318。[2022/11/24 8:04:45]
3、然后,攻击者将十六进制转换为十进制CBB9==>52153。
他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第一笔交易是000052153BTC4、攻击者获取最后2个八位位组74和2F,并以相反的顺序组合它们742F=>2F74
5、攻击者将十六进制转换为十进制2F74==>12148。
观点:Coinbase比特币溢价回升,表明机构投资者正在重返市场:7月8日消息,CryptoQuant CEO Ki Young Ju发推称,最新数据显示,Coinbase的比特币溢价似乎正在恢复。该指标的复苏是市场购买力回升和鲸鱼用户积累的直接标志。随着市场上购买量的增加,交易员和投资者正在推高溢价。
Coinbase Premium可以用来确定来自美国的机构和散户交易员的情绪,因为它反映了主要由大型加密货币投资者使用的Coinbase Pro交易平台的折扣或溢价。在加密货币暴跌期间,该指标出现了历史上最强劲的下跌之一,这表明Coinbase上的做市商很难在市场上找到足够的流动性,这导致了大幅折价。(U.Today)[2022/7/8 2:00:16]
000012148BTC是他将对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易
图1–金额为000052153和000012148BTC的关联交易hxxps//wwwblockchaincom/btc/address/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?sort=0
Redaman恶意软件如何揭示动态隐藏的C&C服务器IP
Redaman与上述算法相反。
1、Redaman发送GET请求以获取硬编码比特币钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ上的最后十笔交易
hxxps//apiblockcyphercom/v1/btc/main/addrs/1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ?limit=102、它将最后两次付款交易的值带到比特币钱包52153和12148。
3、将事务的十进制值转换为十六进制52153==>CBB9和12148==>2F74。
4、将十六进制值拆分为低字节和高字节,更改顺序并将其转换回十进制。B9==>185,CB==>203,74==>116,2F==>47
5、这些值共同组合了隐藏的C&C服务器IP18520311647的IP地址。
图2–计算C&C服务器IP的实际代码,您可以在“转储1”中看到C&C服务器IP的十六进制值:B9CB742F
图3–包含隐藏的C&C服务器IP的Json响应
结论
在此博客中,我们描述了Redaman如何通过将动态C&C服务器地址隐藏在比特币区块链中来提高效率。
与基于静态/硬编码IP地址的简单C&C设置相反,后者提供了一种简便的方法来防御此类攻击。
标签:比特币KNV区块链比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势KNV币KNV价格区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势
中商情报网讯:区块链技术作为一种通用性术,从数字货币加速渗透至其他领域,和各行各业创新融合。未来区块链的应用将由两个阵营推动.
1900/1/1 0:00:00今天上午, Billions项目组突然冲上热搜榜! 南婉儿点开一看, 原来是泰山币今天凌晨开启了线上预约! 发现昨晚的网友 又经历了一场双11般的激战……朋友圈里的票务们也没闲着:SEC已请求法.
1900/1/1 0:00:005年磨一剑,白币即将走向世界区块链行业经过10年的沉浮,已经成为全球热门新兴行业,Whitecoin白币,简称XWC,是一个具有5年多去中心化历史的社区性去中心化区块链项目.
1900/1/1 0:00:00■张歆 在区块链技术的发展上,全球主要国家都在加快布局,“中国技术”也正在全力参与赛道竞争。可以说,我国监管部门和科技创新企业都越来越重视“硬科技”的发展.
1900/1/1 0:00:00来源:正解局 作者:正解局 今天,星期二,但香港所有幼儿园、中小学生却有学不能上,只能待在家里。从11月14日到现在,全港学校一直处于停课状态。原因就是暴力不断升级,已经容不下一张安静的书桌.
1900/1/1 0:00:00在传统的期货市场中,用户不直接买卖实物商品,实物商品的交换只在合约到期交割时发生。也有一些期货合约采用了现金交割的设计,即在合约到期时不进行实物的交换,只将差价以现金的形式进行交割.
1900/1/1 0:00:00