Se descubrió que una nueva campaña de botnet abusaba de la cadena de bloques BTC para ocultar actividades

El equipo de seguridad de Akamai encontró una nueva campaña en la que los desarrolladores de botnets están abusando de las transacciones blockchain de Bitcoin para ocultar sus direcciones IP C2. La botnet tiene como objetivo extraer criptomonedas para los fabricantes y usaría la dirección de la billetera de Bitcoin, su API de blockchain y bash one-liners para infectar y recuperar sus sistemas infectados en la red.

Una botnet que abusa de blockchain

Se descubrió que una nueva campaña de botnet abusaba de la cadena de bloques BTC para ocultar actividades

Las botnets se utilizan a menudo para diversos fines, como implementar ataques DDoS o extraer criptomonedas, y deben estar conectadas al C2 del pirata informático para recibir comandos para realizar la acción deseada, como se describe anteriormente. Estas conexiones son cruciales, ya que son los principales vectores de destino para que los profesionales de seguridad y aplicación de la ley derriben las redes de bots.

Es posible rastrearlos a través de las direcciones IP que tienen, lo que eventualmente muestra la ubicación del servidor y, a veces, los datos y los comandos de transmisión. Por lo tanto, los sombreros blancos a menudo se complacen en encontrar estas direcciones IP C2 de piratas informáticos en el trabajo. Sin embargo, esta puede ser una tarea difícil si el pirata informático configura servidores C2 de respaldo.

Esto lo está practicando un grupo de botnets como seguido por investigadores de Akamai, quien detalló la campaña comienza explorando las vulnerabilidades de RCE en Elasticsearch o Hilado de Hadoop. Luego, implementan scripts para instalar escáneres de servidor de Redis y encontrar destinos de Redis adicionales.

El mecanismo de persistencia

Esto les ayuda a instalar Malware de minería Skidmap para extraer criptomonedas y eliminar los mineros existentes, modificar las claves SSH e incluso desactivar las funciones de seguridad. Los trabajos cron y los rootkits se utilizan para mantener la persistencia. Pero, para recuperar hosts perdidos en la red, los autores deben conectar sus bots a un dominio o dirección IP estática.

Y eso es lo que las fuerzas de seguridad pretenden fácilmente para ayudarlos a derribar la botnet. De ese modo, Se descubrió que los autores de esta campaña configuraron un C2 de respaldo y actualizaron los hosts para conectarlos a su nuevo C2 (de respaldo). Los investigadores encontraron una dirección de billetera BTC, una URL para una API de verificación de billetera y cuatro frases de bash.

Lea también: los grupos de ransomware ganaron más de $ 350 millones en 2020

Todo esto les está ayudando a pasar a un nuevo servidor C2 para la persistencia. Como escribieron, la API está obteniendo los datos de la billetera para calcular una dirección IP, que es la nueva dirección C2 (de respaldo). Este método les ayuda a almacenar (y también a ofuscar) los datos de configuración en la cadena de bloques.

Ellos explicaron: «Al poner una pequeña cantidad de BTC en la billetera, pueden recuperar los sistemas infectados que han quedado huérfanos ”, dice Akamai. “Básicamente, desarrollaron un método para distribuir información de configuración en un medio que es efectivamente invisible y no objetable.«

Esta técnica es excelente, pero aún tiene espacio para desarrollarse, dicen los investigadores. Aunque no han explicado dónde pueden mejorar los autores, Llegaron a la conclusión de que los fabricantes han ganado más de $ 30,000 en Monero hasta ahora usando este sistema..