前言

近期,来自Cybaze公司ZLab恶意软件实验室的安全专家Antonio Pirozzi和Pierluigi Paganini介绍了一款名叫BOTCHAIN的僵尸网络,而它是世界上第一款基于比特币协议构建的全功能僵尸网络。

页首配图

区块链技术能够以可靠的方式验证通信双方之间的事务,且不需要第三方的介入。这样的一种特性使得区块链能够适用于各种不同的场景,比如说医疗保健、供应链跟踪、智能合约和身份管理等等,但需要注意的是,网络犯罪分子同样可以将其用于恶意攻击活动中。

区块链已成为“犯罪利器“?

Pirozzi解释称,网络犯罪分子现在已经开始利用区块链来实施网络攻击了。比如说,2017年上线的The Automated Vending Cart (AVC)网站就使用了基于区块链的DNS系统系统 以及Tor(.onion)域名来隐藏他们的恶意活动,而类似.bit、.bazar和.coin这样的基于区块链的顶级域名(TLD)又给网络犯罪分子隐藏在线(暗网)市场提供了新的方向。

Pirozzi还引用了德国RWTH Aachen大学近期的一项研究结果,即区块链能够用来永久性地存储任何数据,其中包括非法数据在内,例如儿童色情内容以及恐怖主义宣传。专家对近期的比特币交易进行了分析,并发现至少有274条记录链接到了虐待儿童内容以及暗网Web服务上。

区块链

除此之外研究人员还表示,网络犯罪分子甚至还可以利用比特币交易中的“OP_RETURN”字段来控制恶意软件和僵尸网络。实际上早在2016年的亚洲黑帽黑客大会上,来自国际刑警组织的Christian Karam就已经介绍了这种技术了。研究人员提到:“我们的研究表明,网络犯罪分子有可能利用区块链技术来为恶意软件提供命令控制机制。BOTCHAIN就是第一个基于比特币协议实现的具有完整功能的僵尸网络,而且很多网络犯罪组织(包括APT组织)目前都已经具备了开发这种僵尸网络的技术。在此之前,也有其他的研究人员探索过将区块链技术应用到僵尸网络基础设施的可能性,比如说ZombieCoin和Botract等等,只不过它们都是基于以太坊实现的。”

BOTCHAIN

BOTCHAIN是第一个基于比特币协议实现的全功能僵尸网络,它跟其他僵尸网络的区别就在于,BOTCHAIN具有高可用性特征,因为其中的bot没有硬编码C2地址,攻击者可以将虚拟货币钱包作为C2,而不像Zombiecoin那样使用了隐藏服务来动态隐藏C2地址。

这些年来,网络犯罪分子采用了各种不同的技术来构建更具弹性和隐蔽性拓扑结构的僵尸网络,从简单的IRC或HTTP到TCP或P2P网络等等,有的甚至会利用在线云服务。一旦安全产品检测到了这种可疑的网络拓扑,它们就很容易被执法部门或安全公司取缔。

成本昂贵

不过采用基于区块链的僵尸网络成本也会更高,因为攻击者必须支付交易费用,因此通过比特币协议来使用C2是“非常昂贵“的,但是僵尸网络的运营者为了隐藏自己的犯罪痕迹,他们肯定是无所不用其极了。Pirozzi还表示,如果攻击者支付的交易费用较低,那么这笔交易可能永远不会被确认。

成本昂贵

解决方案

有些专家认为,采用矿工黑名单机制也许可以有效避免对包含恶意内容的区块进行验证,但是公开性方面的问题以及内容混淆机制仍然会给安全防护带来困难。

除此之外,许多专家也相信,量子计算机将允许我们修改区块链事务中每一条交易记录的数据,而且可能要引入量子密码才能完全阻止恶意操作。

POC

* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转自FreeBuf