按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

惡意挖礦駭侵團體將控制伺服器 IP 位址藏於比特幣區塊鏈中

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-02-26
  • 點閱次數:1435
惡意挖礦駭侵團體將控制伺服器 IP 位址藏於比特幣區塊鏈中 TWCERT/CC

Akamai 資安團隊發現,有某個以惡意挖礦為主要駭侵攻擊手法的駭侵團體,將其控制伺服器的 IP 寫入 Bitcoin 交易用的區塊鏈資訊中,導致該資訊無法更改,更無法下架。

Akamai 旗下的資安研究團隊近期發現,有某個以惡意挖礦僵屍網路為主要駭侵攻擊手法的知名駭侵團體,將其控制伺服器的 IP 寫入 Bitcoin 交易用的區塊鏈資訊中隱藏起來,導致該資訊無法更改,更無法下架。

Akamai 研究團隊是在研究駭侵團體如何躲避其取樣使用的「甜餌」(honeypot)時,發現這種新的操作手法。

報告指出,這個駭侵團體通常會先利用某些已知的遠端執行任意程式碼漏洞,例如在 Hardoop Yarn 與 Elasticsearch 的 CVE-2015-1427 或 ThinkPHP 的 CVE-2019-9082 來進行先期駭入攻擊,植入並執行可下載更多惡意軟酬載的 shell script 後,接下來載入新的惡意軟體,一方面關閉受害系統上的資安防護相關程式、偵測並移除類似的其他惡意軟體以避免競爭系統資源,然後一邊進行挖礦,一邊在内部網路上尋找更多潛在可駭侵對象,以擴大感染。

由於這類攻擊流程,會透過 cron jobs 與 rootkits 以確保惡意軟體留在系統上,並且保持運作與更新,傳統上必須將控制伺服器的 IP 寫在 crontabs 與設定檔中,很容易被發現,並且循線緝獲控制伺服器,造成惡意軟體無法運作;Akamai 自 2020 年 12 月開始發現變種惡意軟體採取新的手法,透過某個 API 來存取某個 Bitcoin 錢包,並且從接收到的區塊鏈資料中解析出控制伺服器的 IP 資訊。

這種手法使得駭侵團體可以快速更新整個駭侵控制系統的資訊,因為只要放一點小額 Bitcoin 到指定錢包之中,就可以更新控制伺服器的位址,讓惡意軟體恢復運作。再加上 Bitcoin 區塊鏈無法修改也無法下架,使得資安界更加難以封鎖這類駭侵攻擊行動。

回頁首