加密貨幣的興起塑造網路犯罪的新趨勢：區塊鏈基礎設施的使用（上）

一、簡介

網路犯罪分子一直都被加密貨幣所吸引，因為它擁有一定程度的匿名性，並且可以很容易貨幣化。這種興趣近年來有所增加，遠遠超出了簡單地使用加密貨幣作為非法工具和服務支付方式。許多攻擊者還試圖通過針對他們的各種操作（如惡意加密貨幣挖掘，加密貨幣錢包憑證的收集，勒索活動以及加密貨幣交易）來積累加密貨幣及促使其價格不斷上漲。

伴隨著竊取加密貨幣的不斷增加，分散式賬本技術（DLT）（支撐加密貨幣的技術）也為網路犯罪分子提供了一種託管惡意內容的獨特方式。本文涵蓋了使用區塊鏈域名作為惡意基礎設施的網路犯罪發展趨勢。

二、使用區塊鏈基礎設施

傳統上，網路犯罪分子已經使用各種方法來混淆他們用來託管payload、存儲被盜數據和用作命令和控制（C2）伺服器的惡意基礎設施。傳統方法包括使用bulletproof、fast-flux、Tor基礎架構或域生成演算法（DGAs）來幫助混淆惡意基礎架構。雖然我們預計網路犯罪分子將在可預見的未來繼續使用這些技術，但另一個趨勢是：區塊鏈基礎設施的使用。

三、地下社區關注區塊鏈

FireEye iSIGHT Intelligence已經確定在地下社區eCrime攻擊者對加密貨幣基礎設施相關主題的興趣至少可以追溯到2009年。雖然對特定關鍵字的搜索無法提供上下文，但從2015年開始，特定詞（如區塊鏈，Namecoin和.bit）的頻率顯示圍繞這些主題的對話頻率急劇增加（圖1）。

圖1: 地下社區提及的關鍵詞

四、Namecoin域名及使用情況

(一)Namecoin域名

Namecoin是一種基於比特幣代碼的加密貨幣，通過頂級域名（TLD）.bit註冊和管理域名。每個註冊Namecoin域名的人都是他們自己的域名註冊商;但是，域名註冊與個人的姓名或地址無關。相反，域名所有權基於每個用戶的唯一加密Hash。這基本上創建了與比特幣Internet基礎設施相同的匿名系統，用戶只能通過加密身份來識別。圖2說明了Namecoin域名生成過程。

圖 2: Namecoin域名生成過程

由於Namecoin是去中心化的，沒有中央機構管理網路，因此使用Namecoin註冊的域名不會被劫持或關閉。這些因素加上匿名性，使得Namecoin越來越吸引網路犯罪分子，因為他們需要為惡意行為提供基礎設施。

（二)調查Namecoin域名

在Namecoin註冊的域名使用TLD .bit，不受標準DNS提供商管理。因此，除非進行其他配置，否則客戶端將無法建立與這些區塊鏈域的連接。根據Namecoin wiki，可以採取圖3所示的步驟之一來瀏覽.bit域名。

圖3：Namecoin wiki上概述的瀏覽Namecoin域名的選項

由於將整個區塊鏈下載到感染主機上需要大量空間和帶寬，並且通過未知第三方將其惡意流量路由可能會導致解析器阻止其流量，因此這些選項對於網路犯罪分子並不理想。所以，許多人已經配置了自己的惡意軟體來查詢私下管理的與Namecoin兼容的OpenNIC DNS（圖4），或者查詢通過地下基礎設施產品購買的其他兼容伺服器。Bulletproof託管服務提供商（如Group 4）通過增加支持允許惡意攻擊者查詢兼容伺服器，從而滿足對.bit域名的更高需求。

圖4：OpenNIC網站上公布了區塊鏈支持

(三)地下廣告

研究人員在過去幾年中觀察到以下有關使用.bit域的地下廣告。這些帖子的範圍從攻擊者提供.bit兼容模塊或流行的銀行木馬配置更新一直到.bit基礎設施產品。

廣告#1

圖5展示了一個廣告，在2015年末看到，由攻擊者wachdog在流行的俄語市場上發布。這位攻擊者宣傳了一個與Windows和Android操作系統兼容的小公用程序（大小為10 KB），並能與.bit域進行通信。

圖5：攻擊者wachdog在2015年下半年宣傳可連接到.bit域名的實用程序

廣告#2

2017年底，攻擊者Discomrade在俄羅斯著名地下論壇上發布了一種新的名為Coala的HTTP分散式拒絕服務（DDoS）惡意軟體（圖6）。根據廣告，Coala專註於L7（HTTP）攻擊，可以攻克Cloudflare，OVH和BlazingFast DDoS保護。最初的文章稱該攻擊者正在為.bit域添加支持，後來更新的論壇帖子申明Coala能夠支持.bit域通信。

圖6：Discomrade宣傳Coala DDoS惡意軟體的支持.bit域

廣告#3

AZORult惡意軟體於2016年年中發現，由攻擊者CrydBrox在地下市場提供。2017年初，CrydBrox提供了包含.bit支持的更新版本（圖7）。

圖7：CrydBrox宣傳支持.bit域的AZORult

(四)使用分析

伴隨惡意攻擊者對使用.bit域的興趣日益增加，越來越多的惡意軟體系列正在配置使用它們。我們觀察到使用Namecoin域作為其C2基礎架構的一部分的惡意軟體家族包括：

·Necurs

·AZORult

·Neutrino (aka Kasidet, MWZLesson)

·Corebot

·SNATCH

·Coala DDoS

·CHESSYLITE

·Emotet

·Terdot

·Gandcrab Ransomware

·SmokeLoader (aka Dofoil)

根據我們對配置使用.bit的示例的分析，惡意軟體家族常用以下方法連接到這些域：

·查詢硬編碼的OpenNIC IP地址

·查詢硬編碼的DNS伺服器

AZORult

AZORult樣本（MD5：3a3f739fceeedc38544f2c4b699674c5）被配置為支持使用.bit通信，儘管在分析過程中它沒有連接到Namecoin域。該示例首先檢查命令和控制（C2）域是否包含字元串.bit，如果是，惡意軟體將查詢以下硬編碼的OpenNIC IP地址以嘗試解析域名（圖8和圖9）：

·89.18.27.34

·87.98.175.85

·185.121.177.53

·193.183.98.154

·185.121.177.177

·5.9.49.12

·62.113.203.99

·130.255.73.90

·5.135.183.146

·188.165.200.156

圖8：硬編碼的OpenNIC IP地址 ——AZORult

圖9：用於解析C＆C域名的AZORult代碼

CHESSYLITE

分析的CHESSYLITE樣本（MD5：ECEA3030CCE05B23301B3F2DE2680ABD）包含下列硬編碼的.bit域名：

·Leomoon[.]bit

·lookstat[.]bit

·sysmonitor[.]bit

·volstat[.]bit

·xoonday[.]bit

惡意軟體通過查詢下列硬編碼的OpenNIC IP地址列表嘗試解析這些域名：

·69.164.196.21

·107.150.40.234

·89.18.27.34

·193.183.98.154

·185.97.7.7

·162.211.64.20

·217.12.210.54

·51.255.167.0

·91.121.155.13

·87.98.175.85

一旦.bit域名被解析，惡意軟體將向伺服器發出編碼的信標（圖10）。

圖10：連接到xoonday.bit並發出信標的CHESSYLITE示例

Neutrino (aka Kasidet, MWZLesson)

分析的Neutrino樣本（MD5：C102389F7A4121B09C9ACDB0155B8F70）包含下列硬編碼的Namecoin C2域名：

·brownsloboz[.]bit

該示例沒有使用硬編碼的OpenNIC IP地址來解析其C2域名，而是使用DnsQuery_A API調用下列DNS伺服器：

·8.8.8.8

·sourpuss.[]net

·ns1.opennameserver[.]org

·freya.stelas[.]de

·ns.dotbit[.]me

·ns1.moderntld[.]com

·ns1.rodgerbruce[.]com

·ns14.ns.ph2network[.]org

·newton.bambusoft[.]mx

·philipostendorf[.]de

·a.dnspod[.]com

·b.dnspod[.]com

·c.dnspod[.]com

惡意軟體按照上述順序遍歷列表。因此，如果對8.8.8.8的DnsQuery_A調用失敗，惡意軟體將嘗試使用sourpuss [.] net等（圖11）。通過網路模擬技術，我們模擬了一個已解析的連接，以便用.bit域名來觀察樣本的行為。

圖11：修改8.8.8.8為8.8.8.5強制查詢失敗

Monero Miner

圖12：解析.bit域名的代碼片段

圖13：對OpenNIC IP 185.121.177.177的DNS請求

Terdot (aka ZLoader, DELoader)

分析的Terdot示例（MD5：347c574f7d07998e321f3d35a533bd99）包含與.bit域名進行通信的能力，似乎是下載其他payload。它通過查詢下列OpenNIC和公共DNS IP地址列表嘗試解析：

·185.121.177.53

·185.121.177.177

·45.63.25.55

·111.67.16.202

·142.4.204.111

·142.4.205.47

·31.3.135.232

·62.113.203.55

·37.228.151.133

·144.76.133.38

該示例在嘗試訪問域名cyber7 [.]bit時通過硬編碼的IP進行迭代（圖14）。如果域名解析成功，它將連接到https:// cyber7 [.] bit / blog / ajax.php下載RC4加密的數據，其中包含PE文件。

圖14：cyber7.bit域名的DNS請求

Gandcrab勒索軟體

分析的Gandcrab勒索軟體樣本（MD5：9abe40bc867d1094c7c0551ab0a28210）也顯示使用.bit域。與前面提到的家族不同，它通過匿名管道衍生出新的nslookup進程來解析以下區塊鏈域：

·Bleepingcomputer[.]bit

·Nomoreransom[.]bit

·esetnod32[.]bit

·emsisoft[.]bit

·gandcrab[.]bit

衍生的nslookup進程包含以下命令（如圖15所示）：

·nslookup a.dnspod.com

圖15：GandCrab nslookup進程創建和命令

五、常見的OpenNIC IP

在分析這些惡意軟體樣本時，FireEye研究人員發現了一個私人管理的OpenNIC DNS伺服器，通常用於多個家族（表1）。這可能是支持.bit通信的共享基礎架構服務。

表1：各種惡意軟體家族中使用的硬編碼DNS IP地址

IP 185.121.177.177的域名註冊詳細信息如下所示（表2和圖16）：

表2: IP註冊詳細信息

圖16：IP 185.121.177.177的註冊詳細信息（DomainTools）

六、Emercoin域名及使用情況

FireEye iSIGHT Intelligence研究人員已經確定了網路犯罪分子所使用的其他區塊鏈域名，包括Emercoin域名.bazar和.coin。與Namecoin TLD類似，所有記錄都是去中心化的，不可分發的，不能被更改，撤銷或暫停。

(一)調查Emercoin域名

Emercoin還與OpenNIC保持對等協議，這意味著向Emercoin的EMCDNS服務註冊的域名可供OpenNIC DNS伺服器的所有用戶訪問。表3顯示了EMCDNS支持的根域。

表3: Emercoin支持的DNS根域(Emercoin Wiki)

用戶還可以選擇安裝兼容的瀏覽器插件，這些瀏覽器插件將導航到Emercoin域名，或者通過emercharge [.] net（由Emercoin開發人員維護的網關）路由他們的流量。

(二)使用情況

FireEye iSIGHT Intelligence觀察到eCrime攻擊者將Emercoin域名用於惡意基礎設施，儘管程度較低。這些例子包括：

·Joker"s Stash的運營商，一家多產和知名的銀行卡數據商店，經常更改網站的網址。最近，他們選擇使用區塊鏈域名（jstash [.] bazar）取代了Tor，表面上看是為了提高運營安全性。

·同樣，以下銀行卡商店也轉移到了.bazar域名：

buybest[.]bazar

FRESHSTUFF[.]bazar

swipe[.]bazar

goodshop[.]bazar

easydeals[.]bazar

·除了硬編碼的Namecoin域名之外，前面的Neutrino樣本還包含幾個硬編碼的Emercoin域名：

http://brownsloboz[.]bazar

http://brownsloboz[.]lib

http://brownsloboz[.]emc

·FireEye iSIGHT Intelligence確定了一款Gandcrab勒索軟體樣本（MD5：a0259e95e9b3fd7f787134ab2f31ad3c），該樣本利用Emercoin TLD .coin進行C2通信（圖17和圖18）。

圖17: nomoreransom[.]coin的DNS請求

圖18: 到nomoreransom[.]coin的Gandcrab POST請求

七、展望

雖然傳統的基礎設施混淆方法（如Tor，bulletproof 和fast-flux）在可預見的未來很可能會繼續存在，但我們預估區塊鏈惡意基礎架構的使用將繼續在全球網路犯罪分子中普及和使用。伴隨著預期的需求增長，地下社區內支持區塊鏈領域的惡意基礎架構可能會越來越多。

由於區塊鏈的分散性和複製性，執法部門為阻止惡意域名可能會要求關閉整個區塊鏈——這種做法對這些區塊鏈上運行的很多合法服務是不可行的。如果執法機構能夠識別管理特定惡意區塊鏈域的個人，則可能會消除發生這些攻擊的可能性;然而，發生這種情況的可能性嚴重依賴於eCrime攻擊者維護的運營安全級別。此外，隨著網路犯罪分子繼續開發基礎設施混淆和保護方法，阻止區塊鏈域名將會非常困難。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！