• 發布單位:TWCERT/CC
• 更新日期:2021-02-26
• 點閱次數:1451

Akamai 資安團隊發現，有某個以惡意挖礦為主要駭侵攻擊手法的駭侵團體，將其控制伺服器的 IP 寫入 Bitcoin 交易用的區塊鏈資訊中，導致該資訊無法更改，更無法下架。

Akamai 旗下的資安研究團隊近期發現，有某個以惡意挖礦僵屍網路為主要駭侵攻擊手法的知名駭侵團體，將其控制伺服器的 IP 寫入 Bitcoin 交易用的區塊鏈資訊中隱藏起來，導致該資訊無法更改，更無法下架。

Akamai 研究團隊是在研究駭侵團體如何躲避其取樣使用的「甜餌」（honeypot）時，發現這種新的操作手法。

報告指出，這個駭侵團體通常會先利用某些已知的遠端執行任意程式碼漏洞，例如在 Hardoop Yarn 與 Elasticsearch 的 CVE-2015-1427 或 ThinkPHP 的 CVE-2019-9082 來進行先期駭入攻擊，植入並執行可下載更多惡意軟酬載的 shell script 後，接下來載入新的惡意軟體，一方面關閉受害系統上的資安防護相關程式、偵測並移除類似的其他惡意軟體以避免競爭系統資源，然後一邊進行挖礦，一邊在内部網路上尋找更多潛在可駭侵對象，以擴大感染。

由於這類攻擊流程，會透過 cron jobs 與 rootkits 以確保惡意軟體留在系統上，並且保持運作與更新，傳統上必須將控制伺服器的 IP 寫在 crontabs 與設定檔中，很容易被發現，並且循線緝獲控制伺服器，造成惡意軟體無法運作；Akamai 自 2020 年 12 月開始發現變種惡意軟體採取新的手法，透過某個 API 來存取某個 Bitcoin 錢包，並且從接收到的區塊鏈資料中解析出控制伺服器的 IP 資訊。

這種手法使得駭侵團體可以快速更新整個駭侵控制系統的資訊，因為只要放一點小額 Bitcoin 到指定錢包之中，就可以更新控制伺服器的位址，讓惡意軟體恢復運作。再加上 Bitcoin 區塊鏈無法修改也無法下架，使得資安界更加難以封鎖這類駭侵攻擊行動。