【殭屍程式】Glupteba利用區塊鏈交易特色 藏控制中心位址
殭屍程式 Glupteba 一直是 Google 致力打擊的對象,去年 12 月,Google 更宣布已跟網絡商及網站代管公司成功瓦解 Glupteba 所使用的伺服器及網址,並向兩個俄羅斯黑客提出起訴。不過,Glupteba 並未就此敗退,安全研究員更發現,它借用區塊鏈交易的特性,令發放攻擊指令的控制中心變得更牢不可破。
根據 Google 的調查發現,Glupteba 是一款專門攻擊 Windows 及 IoT 裝置的殭屍程式,最高峰時全球曾有過百萬裝置受到感染,而且感染速度更以每日數千宗的速度上升。它雖然是一款殭屍程式,可隨時控制殭屍大軍發動 DDoS 攻擊,其實還具備竊取受感染電腦內的帳戶資料能力,又會取用電腦運算資源來挖礦,惡意功能相當全面。
它的散播途徑主要是假扮成破解版軟件,以及利用 Pay Per Install 服務擴大觸及率。由於 Glupteba 的破壞力驚人,因此 Google 去年才出手瓦解它的基礎設施,截斷 Glupteba 與黑客的控制中心聯繫,而這亦是一般對付殭屍網絡的有效方法。
不過,專門提供 OT 及 IoT 網絡安全服務的 Nozomi Networks 研究員卻發現,黑客借助了區塊鏈交易的特性,令受感染電腦可持續與控制中心聯繫。
研究員以 bitcoin 交易為例解釋,黑客首先會將一個加密貨幣電子錢包位址放在 Glupteba 內,當黑客進行一項加密貨幣交易,可同時在區塊鏈的 signature script 上儲存一段容量約 80 bytes 的資料,而交易一經核實,這些資料將無法被修改,所以黑客便將控制中心的位址儲存在這宗交易內,即使控制中心被破壞,黑客只須重新再做一宗交易,並將新控制中心的位置儲存在 signature script 中,Glupteba 殭屍程式便可根據搜索同一個電子錢包內的資料及解讀私鑰,取得新的控制中心位址,令兩者之間的聯繫得以持續。
研究員指出,Glupteba 並非首個使用這種方法的黑客集團,勒索軟件集團 Cerber 早於 2019 年已開始透過這方法去散播惡意負載。而要建立這類攻擊,黑客一般需時半年去部署,因此近來被捕捉到的 Glupteba 惡意攻擊,實際上早於今年 6 月已啟動。
Nozomi 方面已詳細列出 Glupteba 行動中所使用的電子錢包交易位址,另外亦上載了詳細的威脅指標(indicators of compromise, IoCs)資料,企業 IT 管理員應保持更新位址及威脅,便可有效阻止 Glupteba 的攻擊。
資料來源:https://www.securityweek.com/glupteba-botnet-still-active-despite-googles-disruption-efforts
相關文章:【超級病菌】殭屍網絡專攻Minecraft私人伺服器 MCCrash具備內部網絡滲透能力