بلاکچین بیت کوین به پایین نگه داشتن botnet کمک می کند


ردیف ربات های دهه 1950 ایستگاه های کاری رایانه ای را اجرا می کنند.

هنگامی که هکرها رایانه های آلوده را به یک بات نت منتقل می کنند ، مراقبت های ویژه ای به عمل می آورند تا اطمینان حاصل کنند که کنترل سروری که دستورات و به روزرسانی ها را به دستگاه های آسیب دیده ارسال نمی کند ، از دست نخواهند داد. اقدامات احتیاطی برای خنثی کردن مدافعان امنیتی است که به طور منظم بات نت ها را با در اختیار گرفتن سرور مدیریت و کنترل که آنها را در فرآیندی به نام غرق شدن مدیریت می کند ، از بین می برند.

به تازگی ، یک بات نت که محققان حدود دو سال از آن پیروی می کردند ، شروع به استفاده از روشی جدید برای جلوگیری از سقوط سرورهای مدیریت و مدیریت کرد: با پوشاندن یکی از آدرس های IP آن در بلاک چین بیت کوین.

مسدود کردن ، سانسور یا بارگیری غیرممکن است

وقتی کار به درستی انجام می شود ، ماشین های آلوده برای دریافت دستورالعمل ها و به روزرسانی های بدافزار به سرور مدیریت سخت افزار گزارش می شوند. در صورت خرابی سرور ، بات نت آدرس IP سرور پشتیبان رمزگذاری شده در بلاکچین بیت کوین را پیدا می کند ، یک کتاب غیرمتمرکز که کلیه تراکنش های انجام شده با استفاده از ارز دیجیتال را ردیابی می کند.

با در اختیار داشتن یک سرور که بات نت می تواند به آن بازگردد ، اپراتورها از آلوده شدن سیستم های آلوده جلوگیری می کنند. ذخیره آدرس در بلاکچین اطمینان می دهد که هرگز نمی توان آن را تغییر داد ، حذف یا مسدود کرد ، همانطور که گاهی اوقات اتفاق می افتد که هکرها از روش های پشتیبان گیری سنتی استفاده می کنند.

چاد سیمان ، محقق در Akamai ، شبکه تحویل محتوا که این کشف را انجام داده است ، گفت: “تفاوت در اینجا این است که معمولاً در این موارد بدن متمرکز نشسته است.” “در این حالت ، آنها از یک سیستم غیرمتمرکز استفاده می کنند. نمی توانید آن را بارگیری کنید. نمی توانید آن را سانسور کنید. وجود دارد.”

مقادیر Satoshi را تبدیل کنید

آدرس پروتکل اینترنت یک برچسب دیجیتالی است که موقعیت شبکه دستگاه های متصل به اینترنت را ترسیم می کند. آدرس IP نسخه 4 یک شماره 32 بیتی است که در چهار اکتت ذخیره می شود. به عنوان مثال آدرس IP فعلی arstechnica.com 18.190.81.75 است که هر هشتت با یک دوره از هم جدا شده است. (آدرس های IPv6 خارج از محدوده این نشریه است.)

botnet تحت نظارت Akamai در دو معامله اخیر منتشر شده در 1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq ، آدرس کیف پول بیت کوین که توسط اپراتورها انتخاب شده است ، آدرس IP سرور پشتیبان را ذخیره می کند. آخرین معامله ، اکتاهای سوم و چهارم را فراهم می کند ، در حالی که دومین معامله اخیر ، اکتاهای اول و دوم را ارائه می دهد.

Octets در معامله با عنوان “ارزش Satoshi” رمزگذاری شده است که یک صدمیمین بیت کوین (0.00000001 BTC) است و در حال حاضر کوچکترین واحد ارز بیت کوین است که می تواند در بلاکچین ثبت شود. برای رمزگشایی آدرس IP ، بدافزار botnet هر مقدار Satoshi را به یک نمایش هگزادسیمال تبدیل می کند. سپس نمایش به دو بایت تقسیم می شود که هر یک از آنها به عدد صحیح مربوط به خود تبدیل می شوند.

تصویر زیر بخشی از اسکریپت bash را نشان می دهد که بدافزار در فرآیند تبدیل از آن استفاده می کند. aa آدرس کیف پول بیت کوین را که توسط اپراتورها انتخاب شده است نشان می دهد ، bb حاوی نقطه پایانی است که دو معامله اخیر را جستجو می کند و cc دستوراتی را نشان می دهد که مقادیر Satoshi را به آدرس IP سرور پشتیبان تبدیل می کند.

آکامای

اگر اسکریپت به کد پایتون تبدیل شود ، به صورت زیر خواهد بود:

آکامای

مقادیر Satoshi در دو معامله اخیر کیف پول 6957 و 36305 است. هنگام تبدیل ، آدرس IP است: 209.141.45.27

در یک پست وبلاگی که روز سه شنبه ارسال شد ، محققان آکامای این موضوع را به شرح زیر توضیح دادند:

با دانستن این موضوع ، بیایید مقادیر این تراکنش ها را بررسی کنیم و آنها را به آدرس های IP به octets تبدیل کنیم. معامله اخیر دارای ارزش 6،957 Satoshis است ، و تبدیل این مقدار صحیح به نمایشگر هگزادسیمال خود در مقدار 0x1b2d منجر می شود. گرفتن اولین بایت (0x1b) و تبدیل آن به یک عدد صحیح منجر به عدد 45 می شود – این هشت هشتم آدرس IP نهایی ما خواهد بود. با گرفتن بایت دوم (0x2d) و تبدیل آن به یک عدد صحیح ، عدد 27 بدست می آید که به هشت هشتم آدرس IP نهایی ما تبدیل می شود.

همین فرآیند با معامله دوم برای بدست آوردن اکتای اول و دوم آدرس IP C2 انجام می شود. در این حالت ، مقدار معامله دوم 36305 ساتوشی است. این مقدار که به نمایش هگزادسیمال خود تبدیل می شود ، به ارزش هگزادسیمال 0x8dd1 منجر می شود. سپس بایت اول (0x8d) و بایت دوم (0xd1) به اعداد صحیح تبدیل می شوند. این منجر به اعداد اعشاری 141 و 209 می شود که به ترتیب هشتهای دوم و اول آدرس IP C2 هستند. اضافه کردن چهار اکتت تولید شده به ترتیب به ترتیب منجر به آدرس IP C2 نهایی 209.141.45.27 می شود.

در اینجا ارائه فرآیند تبدیل وجود دارد:

آکامای

کاملاً جدید نیست

در حالی که محققان آکامای می گویند که آنها هرگز بات نت را در طبیعت با استفاده از بلاکچین غیرمتمرکز برای ذخیره آدرس سرور ندیده اند ، آنها توانستند این مطالعه را پیدا کنند که یک سرور فرمان کاملاً کاربردی ساخته شده بر روی بلاکچین ارز رمزپایه Ethereum را نشان می دهد.

Omer Zoha ، محققی که به دنبال اثبات مفهوم برای جستجوی یک سرور کنترل بود ، نوشت: “با استفاده از زنجیره بلوک به عنوان واسطه ، زیرساخت ها عملاً قابل تحمل نیستند و بسیاری از نقص های زیرساخت های منظم مخرب را برطرف می کنند.”

مجرمان قبلاً برای رباتهای آلوده ابزارهای مخفی دیگری برای یافتن سرورهای فرمان داشتند. به عنوان مثال ، VPNFilter ، بدافزاری که توسط هکرهای دولت روسیه برای آلوده کردن 500000 روتر خانگی و دفتر کوچک در سال 2018 مورد استفاده قرار گرفت ، به مقادیر GPS ذخیره شده در تصاویر ذخیره شده در Photobucket.com متکی بود تا سرورها را در مرحله بعدی بارگیری کند. در صورت حذف تصاویر ، VPNFilter از روشی پشتیبان استفاده می کند که در سرور ToKnowAll.com تعبیه شده است.

بدافزار Turla ، گروه هکر دیگری با حمایت دولت روسیه ، سرور کنترل خود را با استفاده از نظرات ارسال شده در حساب رسمی اینستاگرام بریتنی اسپیرز قرار داد.

بات نت Akamai مورد تجزیه و تحلیل از منابع محاسباتی و منبع برق ماشین های آلوده برای استخراج ارز رمزپایه Monero استفاده می کند. در سال 2019 ، محققان Trend Micro این اطلاعات دقیق را در مورد توانایی های آن منتشر کردند. آکامای تخمین می زند که با قیمت های فعلی مونرو ، بات نت حدود 4300 دلار به ازای هر سکه دیجیتال درآمد کسب کرده است.

تخریب ارزان ، بازسازی آن گران است

از نظر تئوری ، تار شدن آدرسهای سرور کنترل مبتنی بر بلاکچین می تواند بازیابی را بسیار دشوارتر کند. در این حالت ، وقفه ها ساده است ، زیرا ارسال Satoshi به کیف پول مهاجم آدرس IP را که بدافزار botnet محاسبه می کند تغییر می دهد.

با ارزش ساتوشی 0.0004 سنت (به هر حال در زمان بررسی) ، 1 دلار اجازه می دهد 2500 معامله نمونه کارها در کیف پول انجام شود. در همین حال ، مهاجمان باید 43،262 ساتوشی یا معادل 16.50 دلار برای بازیابی مجدد کنترل بات نت خود واریز کنند.

روش دیگری برای غلبه بر پایداری مبتنی بر بلاکچین وجود دارد. اندازه گیری پشتیبان فقط هنگامی فعال می شود که سرور کنترل اصلی نتواند اتصال برقرار کند یا کد وضعیت HTTP غیر از 200 یا 405 را بازگرداند.

“اگر اپراتورهای دفن با موفقیت در زیرساختهای اصلی این عفونت ها فرو روند ، فقط باید با کد وضعیت 200 برای همه درخواست های ورودی پاسخ دهند تا از ابتلا به عفونت موجود جلوگیری کنند.
موفق به استفاده از آدرس IP پشتیبان BTC نشد ، “محقق آکامای ، اویاتار سالاس در پستی سه شنبه توضیح داد.

سالاس افزود: “پیشرفت هایی وجود دارد که ما می توانیم از این نوشتار حذف کنیم تا از ارائه فهرست ها و بازخورد به توسعه دهندگان بات نت جلوگیری کنیم.” “استفاده از این روش می تواند بسیار مشکل ساز باشد و احتمالاً در آینده نزدیک محبوبیت بیشتری پیدا خواهد کرد.”


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>