Glupteba僵尸網(wǎng)絡(luò)使用比特幣區(qū)塊鏈進(jìn)行C2備份。

Glupteba概述

近日，谷歌宣布采取措施打擊Glupteba僵尸網(wǎng)絡(luò)活動，Glupteba是一個攻擊Windows主機(jī)的多組件僵尸網(wǎng)絡(luò)，使用比特幣區(qū)塊鏈中編碼的數(shù)據(jù)來作為備份的C2機(jī)制。

谷歌研究人員分析發(fā)現(xiàn)Glupteba會竊取用戶憑證和cookie、在感染的主機(jī)上進(jìn)行加密貨幣挖礦、部署和運(yùn)行攻擊Windows系統(tǒng)和物聯(lián)網(wǎng)設(shè)備的代理組件。Glupteb的受感染用戶遍布全球各地，包括美國、印度、巴西、東南亞等地。

Glupteba惡意軟件家族最初是通過pay per install (PPI)網(wǎng)絡(luò)和從流量分發(fā)服務(wù)處購買的流量來傳播。一段時(shí)間后，研究人員發(fā)現(xiàn)每天有上千個惡意Glupteba實(shí)例下載。下圖是一個用來傳播Glupteba變種的web頁面，該頁面聲稱下載的是破解的軟件，然而下載的卻是Glupteba惡意軟件變種：

傳播Glupteba變種的web頁面

研究人員分析Glupteba二進(jìn)制文件發(fā)現(xiàn)了一些含有g(shù)it的URL：“git.voltronwork.com”，這表明Glupteba 僵尸網(wǎng)絡(luò)的運(yùn)營者同時(shí)在提供多個在線服務(wù)。這些服務(wù)包括利用竊取的憑證來出售虛擬機(jī)的訪問權(quán)限、代理訪問、出售信用卡號碼用于其他攻擊活動等。

Glupteba服務(wù)上傳到谷歌廣告平臺的加密貨幣垃圾郵件

一年來，Google研究人員采取了一系列措施來破壞使用了谷歌服務(wù)的Glupteba活動，其中包含6300萬用來傳播Glupteba的谷歌文件、1183個谷歌賬戶、908個云項(xiàng)目、870個谷歌廣告賬戶等。此外，還通過谷歌安全瀏覽向350萬用戶可能下載惡意文件的用戶發(fā)布預(yù)警消息。

此外，谷歌還參與針對Glupteba僵尸網(wǎng)絡(luò)運(yùn)營人員的訴訟活動，經(jīng)過分析發(fā)現(xiàn)2個Glupteba僵尸網(wǎng)絡(luò)的運(yùn)營人員位于俄羅斯。

Glupteba的C2備份機(jī)制

僵尸網(wǎng)絡(luò)的C2通信一般使用HTTPS來在控制服務(wù)器和受感染的系統(tǒng)之間進(jìn)行命令和二進(jìn)制文件的更新。為了增加其基礎(chǔ)設(shè)施彈性，Glupteba僵尸網(wǎng)絡(luò)運(yùn)營人員還使用比特幣區(qū)塊鏈實(shí)現(xiàn)了一種C2備份機(jī)制。如果主C2服務(wù)器沒有響應(yīng)，受感染的系統(tǒng)就可以從以下比特幣地址的最新交易中提取加密的備份C2域名：

'1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1'

'15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6’

'1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97'

二進(jìn)制文件中硬編碼了用于解密的32字節(jié)AES密鑰：

'd8727a0e9da3e98b2e4e14ce5a6cf33ef26c6231562a3393ca465629d66503cf'

'1bd83f6ed9bb578502bfbb70dd150d286716e38f7eb293152a554460e9223536’

比特幣交易中的OP_RETURN數(shù)據(jù)可以使用AES-256 GCM密鑰來解密備份的C2域名。OP_RETURN域中的前12字節(jié)中含有初始向量IV，后16字節(jié)是GCM便簽，中間的部分是AES-256 GCM加密域名。

解密加密的域名的Python腳本如下所示：

關(guān)于Glupteba網(wǎng)絡(luò)協(xié)議的詳細(xì)信息參見：https://news.sophos.com/wp-content/uploads/2020/06/glupteba_final-1.pdf

本文翻譯自：https://blog.google/threat-analysis-group/disrupting-glupteba-operation/如若轉(zhuǎn)載，請注明原文地址。