長年にわたり、ボットネットは共通の弱点を抱えていました:一元化されたコマンド・アンド・コントロール(C2)インフラストラクチャです。セキュリティチームがサーバーやドメインを特定して押収すると、犯罪ネットワーク全体が崩壊します。
大規模な世界的な摘発により、Emotet、TrickBot、QakBotなどのバックエンドインフラストラクチャを標的にして操作が妨害されました。
Qrator Research Labの研究者は、その従来型の弱点を排除するように見える新しいボットネットローダー「Aeternum C2」を特定しました。
ドメインや物理サーバーに依存する代わりに、Aternumはコマンド指示をPolygonブロックチェーンに直接保存しています。
Polygonのスマートコントラクト内にコマンドを埋め込むことで、Aternumは指示が永続的に記録され、世界中の数千のノードに配布されることを保証しています。
感染したデバイスは、新しい指示を取得するためにパブリックRPC(リモートプロシージャコール)エンドポイントをクエリします。ブロックチェーンは分散型で不変であるため、押収するサーバーも停止するドメインもありません。
観察されたパネルスクリーンショットによると、Aternumはネイティブ C++ で作成されており、32 ビットビルドと 64 ビットビルドの両方で利用可能です。オペレーターはウェブベースのダッシュボードを通じて感染を管理します。
そこからスマートコントラクトを選択し、コマンドタイプを定義して、ブロックチェーントランザクションとして指示を送信します。オンチェーンで確認されると、コマンドはネットワークをポーリングしているすべての感染デバイスで利用可能になり、通常は2~3分以内に実行されます。
従来のボットネットはハードコードされたIPアドレス、DNSドメイン、またはブートストラップノードを備えたピアツーピアシステムに依存しています。これらのコンポーネントは防御者に介入ポイントを提供します。ただし、Aternumはそのレバレッジを完全に排除します。
オペレーターは複数のスマートコントラクトを同時に維持でき、それぞれがスティーラー、クリッパー、RAT、マイナー、またはDLLローダーなどの異なるペイロードにマップされています。
1つのダッシュボードの例では、「Clipper」、「ps1」、「putty.exe」とラベル付けされた13個のアクティブなコントラクトが表示され、それぞれが別のPolygonコントラクトアドレスに関連付けられていました。
組み込みの「ping」機能により、ボットはハードウェアIDとユーザーエージェント文字列を含むHTTP GETリクエストを送信できます。これにより、ターゲット指定されたタスキングと感染追跡が可能になります。
通信はホストされているサーバーではなくブロックチェーンデータから取得されるため、アウトバウンドトラフィックは正当なPolygonインフラストラクチャへの通常のRPCクエリとして表示されます。
運用コストは最小限です。研究者によると、約1ドルのMATICは100~150のコマンドトランザクションに資金を提供できます。ホスティング料金、ドメイン登録、または専用サーバーは必要ありません。必要なのは暗号ウォレットとコントロールパネルへのアクセスだけです。
また、Kleenscan APIを使用したアンチウイルススキャンツールも統合されており、オペレーターはデプロイ前にビルドを数十の検出エンジンに対してテストできます。
セキュリティ専門家は、ブロックチェーンベースのC2フレームワークがボットネット耐性の大きなシフトを表していると警告しています。
感染したシステムからマルウェアがクリーニングされても、基盤となるスマートコントラクトはアクティブで再利用可能なままです。
このモデルが地下市場で広がるにつれて、防御者はインフラストラクチャの摘発にはあまり焦点を当てず、プロアクティブなネットワークレベルの検出と軽減に焦点を当てる必要があるかもしれません。
翻訳元: https://cyberpress.org/aeternum-c2-evasion-exposed/