이 멀웨어는 블록 체인에 C & C 서버 IP를 숨기고 있습니다 – 컴퓨터 사업 검토

광고 - 중반
광고 - 중반
광고 - 중반
광고 - 중반

즐겨찾기로드즐겨 찾기에 추가

블록 체인 지갑에서 C & C를 숨기는 최신 멀웨어

Checkpoint의 연구원들은 은행 악성 코드 Redaman의 새로운 변종이 Bitcoin 블록 체인 내부에 동적 명령 및 제어 (C & C) 서버 IP 주소를 숨기고 있다고 말합니다.

Redaman은 주로 러시아어 사용자를 대상으로하는 뱅킹 악성 코드입니다. 2015에서 처음 발견되었습니다. 제작자는 탐지를 피하기 위해 혁신적인 기술을 사용한 실적을 보유하고 있습니다.

맬웨어는 일반적으로 올해 초 Palo Alto Networks의 분석에 따르면 "PDF 문서로 위장한 다양한 보관 된 Windows 실행 파일을 회전하는 분류를 통해 페이로드를 제공합니다.

Threatpost가 지적한대로 다운로드하면

  • 키 로깅 활동
  • 스크린 샷 캡처
  • 재무 데이터 유출
  • DNS 구성 변경
  • 실행중인 프로세스 종료
  • Windows 저장소에 인증서 추가

블록 체인을 사용한 Redaman Malware

흥미롭게도 점점 증가하는 추세에있는 최신 Redman 버전은 IP 주소의 각 8 진수를 10 진수에서 16 진수로 변환하여 C & C 서버의 동적 IP 주소를 숨 깁니다 (예 : 185.203.116.47 => B9.CB.74.2F, 스크램블링). 후자는 자신의 Bitcoin 지갑에 작은 지불 형태로 숨 깁니다.

C & C 주소를 공개하기 위해 Redaman은 하드 코딩 된 비트 코인 지갑에서 마지막 10 건의 거래를 받기 위해 GET 요청을 보냅니다. 마지막 두 지불 거래의 값을 Bitcoin 지갑으로 가져 와서 10 진수 값을 거래에서 16 진수로 변환합니다. 16 진 값을 낮은 바이트와 높은 바이트로 나누고 순서를 변경 한 후 다시 10 진수로 변환합니다. 이 값들은 함께 숨겨진 C & C 서버의 IP 주소를 결합합니다.

이 악성 코드는 블록 체인을 사용하여 C & C 인프라를 숨기는 최초의 사례가 아닙니다. Trend Micro 연구원들은 Glupteba 악성 코드가 기능을 통해 블록 체인을 통해 C & C 서버 주소를 업데이트하는 것으로 확인했습니다. discoverDomain.

그들이 9 월에 언급 한 것처럼 : discoverDomain 백도어 명령을 보내거나 드로퍼에 의해 자동으로 기능을 실행할 수 있습니다. DiscoverDomain 먼저 공개적으로 사용 가능한 목록을 사용하여 Electrum Bitcoin 지갑 서버를 열거 한 다음 하드 코딩 된 해시로 스크립트의 블록 체인 스크립트 해시 기록을 쿼리하려고 시도합니다.”

대부분의 다른 측면에서 Redaman은 전형적인 뱅킹 트로이 목마입니다.

Checkpoint는 사용자에게 Bitcoin wallet 1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ ( "블록 체인 데이터베이스에서 악성으로 인식되지 않음")를 찾아 보라고 경고합니다.

뉴스 출처

광고 하단
광고 하단
광고 하단
광고 하단

의견 없음