Pony’s C&C服务器隐藏在比特币区块链中

  • 来源:网络
  • 更新日期:2020-04-29

摘要: Redaman是一种银行恶意软件,通过网络钓鱼活动传播,目标主要是说俄语的人。2015年首次出现,并被报道为RTM银行木马,2017年和2018年出现了新版本的Redaman。2019年9月,Check

Redaman是一种银行恶意软件,通过网络钓鱼活动传播,目标主要是说俄语的人。2015年首次出现,并被报道为RTM银行木马,2017年和2018年出现了新版本的Redaman。2019年9月,Check Point的研究人员发现了一个新版本,在比特币区块链中隐藏了Pony’s C&C服务器IP地址。

在过去,我们已经看到了其他使用比特币区块链隐藏他们的C&C服务器IP地址的技术,但在这篇博客中,我们将分享一个新技术的分析。

恶意软件连接到比特币区块链和链接交易,为了找到隐藏的C&C服务器,我们称这种新技术为链接。

攻击者如何在比特币区块链中隐藏C&C服务器

在这个真实的例子中,攻击者想要隐藏IP 185.203.116.47

为了做到这一点,攻击者使用钱包1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ:

1. 攻击者将IP地址的每个八位元从十进制转换为十六进制:185.203.116.47 => B9.CB.74.2F

2. 攻击者获取前两个八位元,B9和CB,并以相反的顺序B9组合它们。CB = > CBB9

3.然后攻击者将其从十六进制转换为十进制,CBB9 ==> 52153。

0.00052153 BTC(约4美元)是他对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包做的第一笔交易

4. 攻击者获取最后两个字节,74和2F,并以相反的顺序将它们组合在一起,74.2F => 2F74

5. 攻击者将十六进制转换为十进制,2F74==> 12148。

0.00012148 BTC(约1美元)是他对1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ钱包进行的第二笔交易

声明:文章来自网络转载,若无意中有侵犯您权益的信息,请联系我们,我们会在第一时间删除!