上週,谷歌 宣布 它部分中斷了一個龐大的殭屍網絡——一個由超過100 萬台受惡意軟件感染的Windows 計算機組成的龐大網絡。在網絡安全領域,這本身就是新聞,但這個特定的網絡正在使用令人震驚的 區塊鏈集成使其難以被擊敗。
殭屍網絡 基本上是“殭屍”設備大軍——被惡意軟件感染並綁定到惡意網絡的服務器,然後可以使用此類設備進行大規模的犯罪活動。大多數設備遭到入侵並成為殭屍網絡一部分的人都不知道它發生了,他們的計算機基本上充當了網絡犯罪的不知情幫兇。
在這個特殊案例中,殭屍網絡背後的犯罪組織被認為是一個名為“Glupteba”的惡意軟件家族。上週,谷歌的威脅分析小組(TAG) 發布的上下文 在Glupteba 殭屍網絡上,表明該網絡被用於挖掘加密貨幣,也稱為“加密劫持。 ” 成群結隊和成群結隊的受感染設備被劫持的CPU 能力基本上是犯罪分子的免費火箭燃料,他們可以用它來支持他們的 高耗能企業.
所以,顯然,破壞這樣的事情是好的。但是,正如 永恆的問題 對於殭屍網絡,真正的問題不一定是如何摧毀受感染網絡的一部分,而是如何阻止它們。在谷歌表示它已經擾亂了Gluteba 的同時,它也不得不承認,受感染的網絡將很快通過基於比特幣區塊鏈的創新彈性機制重組並完全恢復。
這種新的基於加密的機制,長期以來 理論化 但之前不一定在野外見過,這可能為網絡犯罪分子帶來不幸的新領域- 此類可能使他們越來越抵制執法部門的干擾。
一個不斷發展的問題
任何想要操作殭屍網絡的網絡犯罪分子的主要問題是如何保持對他們的殭屍部落的控制。
殭屍網絡通常被設置 由一個集中的一方控制,通常被稱為“botmaster”或“botherder”。牧民使用所謂的 命令和控制(C2) 服務器——一台向所有受感染機器發送指令的機器,有效地充當 犯罪分子控制殭屍的主要總機。通過C2s,牧民可以指揮大規模 惡意活動,例如數據盜竊、惡意軟件攻擊、 或者,在Glupteba 的情況下,加密劫持。
但是,為了管理它的牛群,botmaster 需要一個渠道來與它們保持聯繫並發出命令——這就是事情變得棘手的地方。許多殭屍網絡C2 基礎設施利用基本的 網絡協議,如HTTP,這意味著它們必須連接到特定的網絡域才能與它們的牛群保持聯繫。該域充當C2 的互聯網門戶,因此是受感染設備的擴展網絡。
然而,因為關閉網站並不難,這意味著C2s(以及殭屍網絡本身)很容易被破壞。執法部門可以僅通過使與C2 相關聯的域失去能力來打擊它們——或者通過獲取其DNS 提供商, 像Cloudflare,關閉訪問,或通過查找和占用域本身。
為了解決這個問題,犯罪分子越來越多地尋找創新方法來與他們的機器人群保持聯繫。特別是,犯罪分子試圖使用替代平台(例如社交媒體,或在某些情況下使用Tor)來充當C2 中心。一個 2019年學習 麻省理工學院互聯網政策研究計劃指出,其中一些方法取得了中等成功,但通常不會顯示出很長的壽命:
最近,殭屍網絡嘗試了深奧的C&C 機制,包括社交媒體和雲服務。 Flashback 木馬從Twitter 帳戶檢索指令。 Whitewell Trojan 使用Facebook 作為集合點將機器人重定向到C&C 服務器……結果喜憂參半。網絡管理員很少阻止這些服務,因為它們無處不在,因此C&C 流量更難區分。另一方面,C&C渠道再次集中,推特、谷歌等公司迅速打擊。
經常發生的是警察和罪犯之間的打地鼠遊戲,其中警察 反復取下 域或任何其他正在使用的網絡基礎設施,只是為了讓相同的犯罪分子重組並通過不同的媒介重新啟動和運行殭屍網絡。
然而, Glupteba 似乎已經改變了遊戲規則:根據谷歌和其他調查過該團伙活動的安全分析師的說法,犯罪集團似乎找到了讓自己不受干擾的完美方法。如何?通過利用比特幣的防篡改基礎設施 區塊鏈。
通過區塊鏈防彈
對於網絡犯罪分子來說,如何與他們的殭屍群保持聯繫的問題可以通過創建備份機制來解決。如果主C2 服務器及其關聯域獲得 被警察取下後,受感染設備中的惡意軟件可以設計為在網絡上搜索另一個備份C2 域,然後重新啟動整個受感染網絡。
通常,犯罪分子會將這些備份Web 域硬編碼到惡意軟件本身中。 (硬編碼 是將數據直接嵌入到特定程序的源代碼中的做法。 )通過這種方式,botmaster 可以註冊成群結隊的備份。但是,最終,這種策略的有效性是有限的。在某個時候,殭屍網絡將耗盡新地址,因為只有有限的數量可以編碼到惡意軟件中。
然而,在Glupteba 的案例中,該團伙完全迴避了這個問題:他們沒有將網絡域硬編碼到惡意軟件中,而是將三個比特幣錢包地址硬編碼到其中。通過這些地址,Glupteba 設法通過一個鮮為人知的功能在其機器人群與其C2 基礎設施之間建立了一個可靠的接口,稱為“OP_返回。 ”
OP_Return 是比特幣錢包的一個有爭議的功能 允許將任意文本輸入到交易中。它基本上用作加密等價物 Venmo 的“備忘錄”字段. Glupteba 通過將其用作通信渠道來利用此功能。受感染設備中的惡意軟件經過精心設計,如果殭屍網絡的C2 服務器之一離線,這些設備將掃描公共比特幣區塊鏈以查找與Glupteba 錢包相關的交易。在這些錢包中,通過OP_Return 字段,網絡犯罪分子可以永久輸入新的域地址,其殭屍網絡旨在識別和重定向到新域地址。
鍊式分析是一家區塊鏈分析公司,在幫助Google 的安全團隊調查所有這些方面發揮了關鍵作用。在接受Gizmodo 採訪時,該公司的調查和特別項目高級主管Erin Plante 表示,犯罪分子對區塊鏈的使用給執法帶來了獨特的、可能無法克服的挑戰。
“當殭屍網絡失去與C2 域的通信時——通常是因為有某種執法行動——殭屍網絡知道去掃描整個公共比特幣區塊鏈並尋找這三個比特幣地址之間的交易,”Plante 說。換句話說,每次C2 域被刪除時,Glupteba 都可以通過該團伙的加密錢包發送的新域地址自動重建。
區塊鏈的去中心化特性意味著實際上沒有任何方法可以 堵塞 Plante 說,這些消息通過或使相關的加密地址失效。事實上,作為加密愛好者 經常指出,區塊鏈被認為是“不可審查的”和“防篡改的”,因為它沒有任何總體權力或管理實體。像這樣, 沒有人可以 關掉Glupteba 的惡意活動。
Glupteba 可以停藥嗎?
那麼,呃,該怎麼辦? Google TAG 團隊的主管Shane Huntley 表示,目前的選擇並不多。
“這種備份機制非常有彈性,”亨特利在給Gizmodo 的電子郵件中說。 “只要攻擊者擁有錢包的鑰匙,他們就能夠引導殭屍網絡尋找新的服務器。”
Plante 似乎也同樣悲觀。 “這當然是一個模型,如果它被複製到勒索軟件或其他網絡犯罪活動中,這是一種可怕的可能性,”她說。 “此時,除了 取消一個C2 域,但幾天后它又重新啟動,沒有人能夠找到阻止這種情況的方法。 ”
亨特利表示,可能還有其他犯罪分子以這種方式使用區塊鏈的例子,但目前這種做法絕對不被認為是“常見的”。
“不過,減輕影響的因素是,無論何時他們這樣做,這都是公開的,可以採取進一步的行動,”亨特利說,他指的是區塊鏈的隱性公開性質。 Huntley 表示,由於其開放格式,谷歌的威脅團隊能夠繼續追踪犯罪分子的交易。 “我們已經看到他們將殭屍網絡定向到新服務器,而這些服務器現在也已被關閉。”
換句話說,只要黑客願意不斷更新,殭屍網絡就會繼續存在。 一個和安全專業人員 將不得不繼續跟踪其更新,直到黑客放棄或在現實生活中被捕。