專業知識來源 |安全網站 Threat Post
整理撰稿 | 白澤研究院
一葉知秋、秋風颯爽,我們度過了一個“有點冷”的加密 Summer,在這幾個月中,幾乎每週都有新的駭客勒索軟體的攻擊。無論是 Colonial Pipeline、JBS、馬薩諸塞州輪船、Fujifilms 還是新聞報道中的其他組織,網路犯罪似乎比以往任何時候都更受關注。
最近的一份的報告顯示,網路犯罪使全球損失超過 1 萬億美元,預計到 2025 年全球經濟將損失 10。5 萬億美元。
今年關於駭客勒索事件,最出名的還是美國最大的管道運營商 Colonial Pipeline 向破壞伺服器和網站的駭客、其他在暗網上出售資料的網路犯罪團伙支付 440 萬美元,因為駭客的攻擊行為導致美國東海岸的燃料價格飆升。
所有這些事件和攻擊有一個很強的共性:駭客想要加密貨幣。
駭客如何獲利?
駭客在受害者那裡獲利的方式有很多種。其中有幾種方法很突出:
1. 勒索軟體
將受害者的計算機系統加密,包括他們的個人資料和檔案,會給受害者帶來緊迫感和混亂,以此來索取贖金。駭客勒索時,通常都會要求受害者在短時間內付款,並威脅會公開資料。
勒索軟體速度快且利潤豐厚,其潛在獲利從數千美元到數百萬美元不等。如果受害者受到勒索軟體的攻擊,他們的計算機螢幕上會清楚地顯示這一點,並且他們知道自己已經受到攻擊。這消除了駭客的“隱身”的隱患。
2. 出售或濫用被盜資料
如果駭客在攻擊的資料庫中有訪問許可權並且可以監聽網路通訊或敏感資訊,他們就可以使用它。駭客們可能會將訪問權出售給暗網上的其他駭客,或者使用找到的銀行資訊、信用卡資料或憑據來盜取賬戶存款。總而言之,他們可以造成很多傷害。
雖然這種方法比勒索軟體更隱蔽,但仍有被警方鎖定的風險。此外,如果駭客們決定出售這些資訊,他們有可能找不到買家。最終,這種方法有太多可變的結果,駭客可能會選擇不同的策略。
3. 隱蔽的挖礦木馬—“駭客的提款機”
在駭客入侵受害者的計算機後,他們可以做任何他們想做的事情。通常,駭客會安裝“後門”,確保他們具有持久訪問許可權並可以長時間保持對計算機的控制。這種永續性訪問許可權的獲得方式採用一個佔用空間小、不顯眼的“存根”的形式,它可能隱藏在計算機自動執行的程式碼段中。
雖然,持續控制受害者的計算機本身並不能賺錢,但是,你的計算機已經成為了這些駭客未來的“提款機”。
受到控制的計算機會“被迫”來計算雜湊值,以便挖掘比特幣、以太坊、門羅幣或他們喜歡的任何其他加密貨幣。這會使得受控制的計算機的 CPU、RAM 和其他資源被大量消耗,增加受害者的電費。因為它保持隱藏的狀態,所以受害者每次開啟計算機時,挖礦程式都會自動執行。
在以上三種駭客常見的獲利方式中,緩慢的挖掘加密貨幣將在短期內賺到最少的錢。但如果這種攻擊沒有引起注意,從長遠來看,它可能會帶來鉅額回報,特別是如果它同時針對多個受害者。這種攻擊方式是最隱蔽的,以緩慢、非侵入性的方式進行。與勒索軟體不同(受害者會知道自己受到了威脅),如果加密貨幣挖礦程式正在執行,受害者可能完全不會注意到。
加密貨幣—駭客完美的“逃生之車”
加密貨幣是駭客的完美“逃生之車”,這得益於加密貨幣/區塊鏈本身的自主性、匿名性、永久性和開放性的特點。使用加密貨幣,不會受到銀行和政府的監督;沒有銀行手續費、賬戶維護費、最低餘額限制或透支費用。
如果駭客僅接受加密貨幣支付,那麼這個駭客實際上可以一直保持匿名。加密貨幣的交易不會展示身份資訊、電子郵件地址、姓名或任何詳細資訊。
對駭客來說,加密貨幣最吸引人的特點可能是永久性:一旦匯款,就無法取回,區塊鏈上的交易回滾不太可能發生。這意味著對於勒索軟體之類的攻擊,駭客可以攜款逃跑。
瞭解區塊鏈或加密貨幣的朋友們此時可能會有一個疑問:加密貨幣的一個重要注意事項是交易儲存並顯示在分散式的賬本上。任何人都可以在區塊鏈的瀏覽器上查詢資金往來何處,
“如果交易是公開的,那麼壞人怎麼能保持匿名?”
請注意,錢包地址和轉賬本身不攜帶個人身份資訊。最重要的是,駭客可能經常透過“混合器”傳送資金或透過多個錢包轉移加密貨幣來“清洗”加密貨幣。事實上,有一些去中心化的協議可以為你做到這一點,例如 tornado。cash 可以“清洗”以太坊(ETH)。透過多個錢包匯款,減少了與原錢包地址的聯絡,這可以大大增加隱秘程度。
拋開一些加密貨幣為區塊鏈帶來的豐富創新,僅考慮駭客相關的問題,比特幣、以太坊等加密貨幣仍然是“駭客的貨幣”。沒有監管機構,加密貨幣市場可以不受監管地繼續執行下去,同時還會繼續提供給駭客“逃生之車”,因為沒有其他技術可以幫助駭客“完美犯罪”。
FBI 如何截獲私鑰並追回勒索損失?
雖然比特幣交易是匿名的,但可以透過區塊鏈的記錄來跟蹤資金,以瞭解這些交易的實際情況以及它們的去向。下面我們將帶大家還原今年夏天發生的針對美國最大的管道運營商 Colonial Pipeline 的勒索攻擊案件。
Colonial Pipeline 在今年早些時候遭到勒索軟體的攻擊。最終,該公司支付了 440 萬美元的比特幣來恢復他們的系統和資料。由於這是一次非常大規模的襲擊,聯邦調查局(FBI)也介入其中,並最終將駭客的錢包地址“扣押”了。
6 月初,支付給駭客的數百萬美元被 FBI 追回並歸還給 Colonial Pipeline。就該案件結果的本身而言,這是一項巨大的成就,也為網路安全的奮鬥邁出了一大步,事後 FBI 公開了一個關於追蹤這筆比特幣資金流向的報告。
雖然報告中關於案件的加密貨幣錢包地址被隱藏了,但因為它們遵循區塊鏈可識別的特徵,我們可以輕鬆的在區塊鏈記錄中找到。
確定完整的錢包地址後,我們可以在區塊鏈上找到這個錢包,並檢視傳輸的內容和時間。
請注意,截圖中地址的比特幣數量以及錢包地址的後半部分與 FBI 的報告一致。而比特幣的價格會波動,所以截圖中顯示的價值將與今天有所不同。
追查資金流向
檢查 FBI 報告中描述的步驟 28-33,我們可以跟蹤到大約五個不同的錢包地址,這些地址是這筆比特幣的去向。
距離駭客原始的錢包地址只有五次轉移,看起來這些駭客似乎沒有使用“混合器”。他們只是……轉移了錢……而已。
最終產生的交易將 63 個比特幣傳送到了 FBI 扣押的錢包地址。然而,63BTC與 75 比特幣的勒索支付數量不一致,這是什麼原因?
其他的比特幣呢?
需要注意的是,無論當前的比特幣/美元的兌換率如何,63 BTC ≠ 75 BTC。我們只能推測,最初的一些資金可能是給了駭客附屬的公司或合作伙伴的,因為眾所周知,DarkSide(Colonial Pipeline 攻擊背後的勒索軟體團伙)確實在與其他人合作。也許這些資金髮送到的錢包地址不是 FBI 能夠控制且無法恢復的地址。
然而,值得慶幸的是,考慮到比特幣的價格波動和被“扣押”錢包中的可用資金,在支付給駭客的最初 440 萬美元中,有 230 萬美元得以追回。
聯邦調查局是如何獲取到錢包的訪問許可權?
不幸的是,我們也對此感到疑惑。不管是什麼原因什麼方式,最終 FBI 已經發現了這個錢包地址所對應的私鑰,但是獲取的方式尚未公開披露。當然,駭客可能有一些錯誤,或者其他洩密事件,甚至是 FBI 進行的一些主動入侵……但這仍然是個謎。
加密貨幣的採用在駭客中究竟有多普及?
在“地下黑市”中,有許多罪犯僅使用加密貨幣來買賣惡意軟體或駭客服務。
這在整個惡意軟體市場和駭客論壇中都很普遍,而這只是用加密貨幣購買一些的工具和框架。
加密駭客的“新寵”—剪貼簿劫持
最讓我們細思極恐的是駭客的小型攻擊形式——更改使用者複製和貼上的錢包地址。駭客可以鎖定計算機的剪貼簿並在受害者即將匯款時修改錢包地址。透過將惡意軟體注入到使用者的計算機中,可以執行簡單的切換,將轉賬時收件人的錢包地址替換為駭客自己的錢包地址,當加密貨幣匯款入駭客的地址後,因為區塊鏈的特性,受害者根本無法取回。
網路安全公司 Threat Post 最近截獲到了一個隱藏在常見自動執行檔案中的遠端控制木馬,這個檔案被可疑地命名為“AdobeColorCR_ExtraSettings_1_0-mul。zip”。
經過對該檔案外殼的”抽絲剝繭“,最終技術人員得到了該惡意檔案的核心程式碼,並發現了明確的遠端訪問木馬 (RAT) 功能——與傳統的木馬一樣(具有傳送和接收資料以及執行命令的能力)。
這個惡意檔案最有趣的地方來了,技術人員發現了名為“funcCret”和“sendClib”的特殊函式。這也就是前文提到的”剪貼簿攻擊“。funcCret”的功能包括加密貨幣錢包地址,並將自動檢查受害者計算機的剪貼簿資料,有沒有存在任何的錢包地址。如果在剪貼簿中找到了錢包地址(例如使用者“複製”了一個地址來購買物品一樣),“sendClib”函式會將駭客的惡意錢包地址替換剪貼簿內容。而駭客的惡意錢包地址如下圖所示:
我們可以先假設圖片圈出的程式碼中的“bch”是指比特幣現金(BCH),“etho”是指以太坊(ETH),但“Mizu”是什麼呢?
透過將“Mizu”地址在比特幣區塊鏈瀏覽器中搜索,技術人員發現,匯入這個地址中的比特幣有非常多,以至於該錢包地址的比特幣總價值超過了 200 萬美元。
使用這種“剪貼簿劫持”技術的駭客目前已獲利超過 200 萬美元。
目前該惡意軟體和攻擊中使用的惡意錢包地址已被 Threat Post 公司報告給此比特幣濫用資料庫。
我們需要注意
無論能否透過公共區塊鏈追蹤資金,事實仍然是駭客熱衷於在惡意軟體中使用加密貨幣,以合法的現實世界資產(比特幣)來牟利。
雖然我們已經看到勒索軟體猖獗,資訊和資料在暗網上拍賣,遠端挖礦木馬偷偷使用我們的計算機資源用來挖掘加密貨幣,但這種剪貼簿劫持技術也同樣值得我們注意。如果我們不去認真檢視 Windows 檔案系統中的角落,不去檢查那些可以自動執行的程式或應用,下一個受到傷害的可能就是我們。