新たに特定されたボットネット loader は、コマンド&コントロール (C2) 操作を Polygon ブロックチェーン上にシフトしており、当局とセキュリティ企業が悪意あるネットワークを解体するために歴史的にターゲットにしてきた中央サーバーを排除しています。
Qrator Research Lab がサイバー犯罪フォーラムを監視中に発見した Aeternum C2 は、従来型インフラを Polygon ブロックチェーンにホストされたスマート コントラクトに置き換えます。感染したマシンは、ハードコードされた IP アドレスまたは登録済みドメインと通信する代わりに、ブロックチェーンに直接書き込まれた命令を取得します。そこではトランザクションが公開記録され、削除することができません。
長年にわたり、法執行機関はサーバーを押収またはドメインを停止することで、操作を中断してきました。例えばEmotet、TrickBot、QakBot などです。Aeternum はその弱点を完全に排除しているようです。
コントロールのためのスマート コントラクトの使用
Qrator が検証した売り手のドキュメントとパネル スクリーンショットによると、Aeternum は x32 および x64 ビルドで提供されるネイティブ C++ loader です。
オペレーターは、スマート コントラクトを選択し、コマンド タイプを選択し、ペイロード URL を指定できる Web ダッシュボード経由で感染を管理します。送信されると、命令はトランザクションとしてブロックチェーンに書き込まれ、50 を超えるリモート プロシージャ コール エンドポイントをクエリするボットがアクセスできるようになります。
売り手は、新しいコマンドが 2 ~ 3 分以内にアクティブなボットに到達することを主張しています。
オペレーターは複数のスマート コントラクトを同時に実行でき、各契約は異なるペイロードまたは関数にリンクされています。内容は以下の通りです:
-
Clipper モジュール
-
情報窃取 DLL
-
PowerShell またはバッチ スクリプト
-
リモート アクセス ツールおよび暗号通貨マイナー
ブロックチェーン ベースの C2 の詳細を読む:北朝鮮ハッカーが EtherHiding を使用して暗号資産を盗む
ブロックチェーン データは数千のノード全体に複製されます。つまり、押収する中央インフラストラクチャはありません。ウォレット所有者のみが、特定のコントラクトに結び付けられたコマンドを発行または変更できます。
このモデルが破壊努力をどのように複雑にするか
従来の解体戦略は、識別可能なインフラストラクチャに依存しています。ドメインは停止できます。ホスティング プロバイダーは IP アドレスを null-route できます。物理サーバーは没収される可能性があります。ピア ツー ピア (P2P) ボットネットは、ブートストラップ ノードをターゲットにすることで弱体化されています。
ブロックチェーン ベースのコントロールがその方程式を変えます。オンチェーンに保存されたコマンドは事実上永続的で、グローバルにアクセス可能です。
この対比は、2021 年の Glupteba ボットネットの破壊で見ることができます。Google は感染を 78% 削減したと述べています。Glupteba は Bitcoin ブロックチェーンをバックアップ チャネルとして使用し、数か月後に復旧することができました。これに対して、Aeternum はブロックチェーンをその主要な通信層として使用しているようです。
運用コストも低いです。売り手は、MATIC で 1 ドルで 100~150 個のコマンド トランザクションを賄えることに注目して、生涯ライセンスまたは完全な C++ ソース コードを宣伝しています。ドメイン、レンタル サーバー、またはホスティング プロバイダーは不要です。
「C2 チャネルが不変である場合、従来のアップストリーム解体はより困難になります。感染したすべてのマシンが修復されたとしても、オペレーターは何も再構築することなく同じコントラクトを使用して再配置できます」と Qrator は述べています。
「これにより、プロアクティブな DDoS 軽減策がこれまで以上に重要になります。ボットネットがソースで取り下げることができない場合、残りの唯一の防御はエッジでそのトラフィックをフィルタリングすることです。」
翻訳元: https://www.infosecurity-magazine.com/news/aeternum-botnet-c2-polygon/
