Ботнет спрятал IP-адрес сервера в крипто-кошельке
Недавно ботнет, за которым исследователи из компании Akamai, провайдера инфраструктуры доставки контента, следили уже около двух лет, начал использовать новый способ предотвращения отключений командно-управляющих (Command and Control, C2) серверов.
Если сервер, раздающий команды и обновления вредоносного ПО, оказывается заблокирован, ботнет находит IP-адрес резервного сервера, закодированный в децентрализованной сети реестров транзакций биткойн.
Адрес IPv4, это 32-разрядное число, которое хранится в четырех октетах. Ботнет хранит IP-адрес резервного сервера в двух последних транзакциях биткойн-кошелька, выбранного операторами. Последняя транзакция дает третий и четвертый октеты, а следующая по времени транзакция - первый и второй октеты.
ПО ботнета переводит величину каждой транзакции, выраженную в единицах Сатоши (0,00000001 BTC), в шестнадцатеричное представление. Затем это число разбивается на два байта, каждый из которых преобразуется в целое число, соответствующее октету Ipv4. Например, последние транзакции кошелька величиной в 6957 и 36305 сатоши, дают IP-адрес 209.141.45.27
В сообщении блога, опубликованном во вторник, исследователи из Akamai заявили, что никогда раньше не сталкивались с использованием реальным ботнетом децентрализованной блокчейн для хранения адресов серверов, но смогли найти исследование, демонстрирующее полностью функциональный командный сервер, построенный на основе блокчейна для криптовалюты Ethereum.
Отслеживаемый Akamai ботнет использует вычислительные ресурсы и электроснабжение зараженных машин для майнинга криптовалюты Monero. По оценкам Akamai, ботнет уже добыл цифровой монеты на сумму около 43 тыс. долларов.
Теоретически, обфускация адресов C2-серверов с помощью блокчейна способна значительно усложнить их блокирование, но в данном конкретном случае простая отправка одного сатоши в кошелек злоумышленника исказит IP-адрес, вычисляемый вредоносным ПО ботнета.