类别:区块链 / 日期:2021-09-18 / 浏览:275

专业常识来源 | 平安网站 Threat Post

整理撰稿 | 白泽研究院

尝鼎一、秋风飒爽,我们渡过了一个“有点冷”的加密 Summer,在那几个月中,几乎每周都有新的黑客讹诈软件的攻击。无论是 Colonial Pipeline、JBS、马萨诸塞州汽船、Fujifilms 仍是新闻报导中的其他组织,收集立功似乎比以往任何时候都更受存眷。

比来的一份的陈述显示,收集立功使全球丧失超越 1 万亿美圆,估计到 2025 年全球经济将丧失 10.5 万亿美圆。

本年关于黑客讹诈事务,最出名的仍是美国更大的管道运营商 Colonial Pipeline 向毁坏办事器和网站的黑客、其他在暗网上出卖数据的收集立功团伙付出 440 万美圆,因为黑客的攻击行为招致美国东海岸的燃料价格飙升。

所有那些事务和攻击有一个很强的共性:黑客想要加密货币。

​黑客若何获利?

黑客在受害者那里获利的体例有良多种。此中有几种办法很凸起:

1. 讹诈软件

将受害者的计算机系统加密,包罗他们的小我数据和文件,会给受害者带来紧迫感和紊乱,以此来索取赎金。黑客讹诈时,凡是城市要求受害者在短时间内付款,并威胁会公开数据。

讹诈软件速度快且利润丰厚,其潜在获利从数千美圆到数百万美圆不等。若是受害者遭到讹诈软件的攻击,他们的计算机屏幕上会清晰地显示那一点,而且他们晓得本身已禁受到攻击。那消弭了黑客的“隐身”的隐患。

2. 出卖或滥用被盗数据

若是黑客在攻击的数据库中有拜候权限而且能够监听收集通信或敏感信息,他们就能够利用它。黑客们可能会将拜候权出卖给暗网上的其他黑客,或者利用找到的银行信息、信誉卡数据或根据来窃取账户存款。总而言之,他们能够形成良多危险。

固然那种办法比讹诈软件更隐蔽,但仍有被警方锁定的风险。此外,若是黑客们决定出卖那些信息,他们有可能找不到买家。最末,那种办法有太多可变的成果,黑客可能会选择差别的战略。

3. 隐蔽的挖矿木马—“黑客的提款机”

在黑客入侵受害者的计算机后,他们能够做任何他们想做的工作。凡是,黑客会安拆“后门”,确保他们具有耐久拜候权限并能够长时间连结对计算机的控造。那种耐久性拜候权限的获得体例接纳一个占用空间小、不显眼的“存根”的形式,它可能隐藏在计算机主动运行的代码段中。

固然,持续控造受害者的计算机自己其实不能赚钱,但是,你的计算机已经成为了那些黑客将来的“提款机”。

遭到控造的计算时机“被迫”来计算哈希值,以便发掘比特币、以太坊、门罗币或他们喜好的任何其他加密货币。那会使得受控造的计算机的 CPU、RAM 和其他资本被大量消耗,增加受害者的电费。因为它连结隐藏的形态,所以受害者每次翻开计算机时,挖矿法式城市主动运行。

在以上三种黑客常见的获利体例中,迟缓的发掘加密货币将在短期内赚到起码的钱。但若是那种攻击没有引起留意,从久远来看,它可能会带来巨额回报,出格是若是它同时针对多个受害者。那种攻击体例是最隐蔽的,以迟缓、非侵入性的体例停止。与讹诈软件差别(受害者会晓得本身遭到了威胁),若是加密货币挖矿法式正在运行,受害者可能完全不会留意到。

加密货币—黑客完美的“逃生之车”

加密货币是黑客的完美“逃生之车”,那得益于加密货币/区块链自己的自主性、匿名性、永久性和开放性的特点。利用加密货币,不会遭到银行和政府的监视;没有银行手续费、账户维护费、更低余额限造或透收费用。

若是黑客仅承受加密货币付出,那么那个黑客现实上能够不断连结匿名。加密货币的交易不会展现身份信息、电子邮件地址、姓名或任何详细信息。

对黑客来说,加密货币最吸惹人的特点可能是永久性:一旦汇款,就无法取回,区块链上的交易回滚不太可能发作。那意味着关于讹诈软件之类的攻击,黑客能够携款逃跑。

领会区块链或加密货币的伴侣们此时可能会有一个疑问:加密货币的一个重要留意事项是交易保留并显示在散布式的账本上。任何人都能够在区块链的阅读器上查询资金往来何处,“若是交易是公开的,那么坏人怎么能连结匿名?”

请留意,钱包地址和转账自己不照顾小我身份信息。最重要的是,黑客可能经常通过“混合器”发送资金或通过多个钱包转移加密货币来“清洗”加密货币。事实上,有一些去中心化的协议能够为你做到那一点,例如 tornado.cash 能够“清洗”以太坊(ETH)。通过多个钱包汇款,削减了与原钱包地址的联络,那能够大大增加隐秘水平。

抛开一些加密货币为区块链带来的丰硕立异,仅考虑黑客相关的问题,比特币、以太坊等加密货币仍然是“黑客的货币”。没有监管机构,加密货币市场能够不受监管地继续运行下去,同时还会继续供给给黑客“逃生之车”,因为没有其他手艺能够帮忙黑客“完美立功”。

FBI 若何截获私钥并逃回讹诈丧失?

固然比特币交易是匿名的,但能够通过区块链的记录来跟踪资金,以领会那些交易的现实情况以及它们的去向。下面我们将带各人复原本年炎天发作的针对美国更大的管道运营商 Colonial Pipeline 的讹诈攻击案件。

 Colonial Pipeline 在本年早些时候遭到讹诈软件的攻击。最末,该公司付出了 440 万美圆的比特币来恢复他们的系统和数据。因为那是一次十分大规模的袭击,联邦查询拜访局(FBI)也介入此中,并最末将黑客的钱包地址“扣押”了。

6 月初,付出给黑客的数百万美圆被 FBI 逃回并偿还给 Colonial Pipeline。就该案件成果的自己而言,那是一项庞大的成就,也为收集平安的斗争迈出了一大步,过后 FBI 公开了一个关于逃踪那笔比特币资金流向的陈述。

FBI 若何截获黑客私钥并逃回讹诈丧失?剪贴板劫持值得我们的留意  黑客 勒索 私钥 钱包地址 比特币 第1张

固然陈述中关于案件的加密货币钱包地址被隐藏了,但因为它们遵照区块链可识此外特征,我们能够轻松的在区块链记录中找到。

确定完好的钱包地址后,我们能够在区块链上找到那个钱包,并查看传输的内容和时间。

FBI 若何截获黑客私钥并逃回讹诈丧失?剪贴板劫持值得我们的留意  黑客 勒索 私钥 钱包地址 比特币 第2张

请留意,截图中地址的比特币数量以及钱包地址的后半部门与 FBI 的陈述一致。而比特币的价格会颠簸,所以截图中显示的价值将与今天有所差别。

清查资金流向

查抄 FBI 陈述中描述的步调 28-33,我们能够跟踪到大约五个差别的钱包地址,那些地址是那笔比特币的去向。

FBI 若何截获黑客私钥并逃回讹诈丧失?剪贴板劫持值得我们的留意  黑客 勒索 私钥 钱包地址 比特币 第3张

间隔黑客原始的钱包地址只要五次转移,看起来那些黑客似乎没有利用“混合器”。他们只是……转移了钱......罢了。

最末产生的交易将 63 个比特币发送到了 FBI 扣押的钱包地址。然而,63 BTC 与 75 比特币的讹诈付出数量纷歧致,那是什么原因?

其他的比特币呢?

需要留意的是,无论当前的比特币/美圆的兑换率若何,63 BTC ≠ 75 BTC。我们只能揣测,最后的一些资金可能是给了黑客从属的公司或合做伙伴的,因为寡所周知,DarkSide(Colonial Pipeline 攻击背后的讹诈软件团伙)确其实与其别人合做。也许那些资金发送到的钱包地址不是 FBI 可以控造且无法恢复的地址。

然而,值得高兴的是,考虑到比特币的价格颠簸和被“扣押”钱包中的可用资金,在付出给黑客的最后 440 万美圆中,有 230 万美圆得以逃回。

联邦查询拜访局是若何获取到钱包的拜候权限?

不幸的是,我们也对此感应疑惑。不论是什么原因什么体例,最末 FBI 已经发现了那个钱包地址所对应的私钥,但是获取的体例尚未公开披露。当然,黑客可能有一些错误,或者其他泄密事务,以至是 FBI 停止的一些主动入侵……但那仍然是个谜。

加密货币的接纳在黑客中事实有多普及?

在“地下暗盘”中,有许多功犯仅利用加密货币来买卖歹意软件或黑客办事。

大大都情况下,那些办事或商品会显示一个加密货币二维码,能够使买家轻松地停止付款。若是买家无法扫描二维码,则网页会显示出卖家的加密货币钱包地址,买家能够在钱包中自行转账。

那在整个歹意软件市场和黑客论坛中都很遍及,而那只是用加密货币购置一些的东西和框架。

加密黑客的“新宠”—剪贴板劫持

最让我们细思极恐的是黑客的小型攻击形式——更改用户复造和粘贴的钱包地址。黑客能够锁定计算机的剪贴板并在受害者即将汇款时修改钱包地址。通过将歹意软件注入到用户的计算机中,能够施行简单的切换,将转账时收件人的钱包地址替代为黑客本身的钱包地址,当加密货币汇款入黑客的地址后,因为区块链的特征,受害者底子无法取回。

收集平安公司 Threat Post 比来截获到了一个隐藏在常见主动运行文件中的长途控造木马,那个文件被可疑地定名为“AdobeColorCR_ExtraSettings_1_0-mul.zip”。

颠末对该文件外壳的”抽丝剥茧“,最末手艺人员得到了该歹意文件的核心代码,并发现了明白的长途拜候木马 (RAT) 功用——与传统的木马一样(具有发送和领受数据以及施行号令的才能)。

那个歹意文件最有趣的处所来了,手艺人员发现了名为“funcCret”和“sendClib”的特殊函数。那也就是前文提到的”剪贴板攻击“。funcCret”的功用包罗加密货币钱包地址,并将主动查抄受害者计算机的剪贴板数据,有没有存在任何的钱包地址。若是在剪贴板中找到了钱包地址(例如用户“复造”了一个地址来购置物品一样),“sendClib”函数会将黑客的歹意钱包地址替代剪贴板内容。而黑客的歹意钱包地址如下图所示:

FBI 若何截获黑客私钥并逃回讹诈丧失?剪贴板劫持值得我们的留意  黑客 勒索 私钥 钱包地址 比特币 第4张

我们能够先假设图片圈出的代码中的“bch”是指比特币现金(BCH),“etho”是指以太坊(ETH),但“Mizu”是什么呢?

通过将“Mizu”地址在比特币区块链阅读器中搜刮,手艺人员发现,汇入那个地址中的比特币有十分多,以致于该钱包地址的比特币总价值超越了 200 万美圆。

FBI 若何截获黑客私钥并逃回讹诈丧失?剪贴板劫持值得我们的留意  黑客 勒索 私钥 钱包地址 比特币 第5张

利用那种“剪贴板劫持”手艺的黑客目前已获利超越 200 万美圆。

目前该歹意软件和攻击中利用的歹意钱包地址已被 Threat Post 公司陈述给此比特币滥用数据库。

我们需要留意

无论能否通过公共区块链逃踪资金,事实仍然是黑客热衷于在歹意软件中利用加密货币,以合法的现实世界资产(比特币)来取利。

固然我们已经看到讹诈软件疯狂,信息和数据在暗网上拍卖,长途挖矿木马偷偷利用我们的计算机资本用来发掘加密货币,但那种剪贴板劫持手艺也同样值得我们留意。若是我们不去认实查看 Windows 文件系统中的角落,不去查抄那些能够主动运行的法式或应用,下一个遭到危险的可能就是我们。

 可能感兴趣的文章

最近发表