Carding 4 Carders
Professional
- Messages
- 2,728
- Reaction score
- 1,585
- Points
- 113
Эксперты по безопасности Антонио Пироцци и Пьерлуиджи Паганини представили BOTCHAIN, первый полнофункциональный ботнет, построенный на протоколе Биткойн.
Эксперт по безопасности Антонио Пироцци, директор лаборатории вредоносных программ ZLab компании Cybaze, представленный на конференции ЕС по киберугрозам в Дублине, вместе с Пьерлуиджи Паганини (он же @securityaffairs) провел исследование о том, как мошенники могут использовать блокчейн в злонамеренных целях.
Презентация под названием « BOTCHAIN aka The Dark side of Blockchain» включает подробности о первом полнофункциональном ботнете, построенном на протоколе Биткойн, под названием «BOTCHAIN».
Блокчейн представляет собой систему «только для чтения» по своей конструкции, она устойчива к модификации данных и обеспечивает запись транзакций между двумя сторонами проверяемым и надежным способом без необходимости участия третьей стороны. Эти свойства делают блокчейн привилегированной технологией для различных приложений (например, приложений здравоохранения, отслеживания цепочки поставок, смарт-контрактов, управления идентификацией), но киберпреступники могут злоупотреблять им для выполнения злонамеренных действий.
Пироцци объясняет, что киберпреступники уже использовали блокчейн в атаках в дикой природе, например, в случае популярного кардинг магазина Joker's Stash, когда они внедрили одноранговую систему DNS на основе блокчейна.
Веб-сайт Automated Vending Cart (AVC) был запущен в 2017 году с использованием DNS с блокчейном вместе с доменом Tor (.onion), чтобы скрыть вредоносные действия и настроить свою платформу. ДВУ на основе блокчейнов, такие как .bit, .bazar и .coin, предоставляют киберпреступникам новый уровень скрытности для их онлайн-рынка.
Pirozzi привел недавнее исследование, проведенные учеными из Аахена университета (Германия), который демонстрирует, как blockchain может быть использована в качестве постоянного хранения для любого вида данных, даже нелегальные вещи, таких как содержание детской порнографии и пропаганда терроризма. Эксперты проанализировали транзакции биткойнов и обнаружили не менее 274 ссылок на контент о жестоком обращении с детьми или ссылки на темные веб-сервисы.
Пироцци и Паганини практически продемонстрировали, как киберпреступники могут использовать блокчейн в своих злонамеренных целях.
«Киберпреступники могут использовать поле« OP_RETURN »транзакции биткойнов для доставки механизма контроля вредоносного ПО, команд ботнета или механизма распространения вредоносного ПО, как это также было представлено на конференции Black Hat ASIA 2016 Кристианом Карамом из Интерпола и Виталием Камлуком из KASPERSKY», - сказал Пироцци.
«Наше исследование демонстрирует возможность злоупотребления технологией блокчейна для создания механизма управления и контроля для вредоносного ПО, использующего блокчейн. BOTCHAIN - это первый полнофункциональный ботнет, построенный на протоколе Биткойн ». Добавлен Паганини. «Многие злоумышленники, включая APT-группы, уже имеют технические возможности для разработки такого рода ботнетов, по этой причине крайне важно изучить, как злоумышленники могут злоупотреблять блокчейном»
Пироцци объяснил, что в прошлом другие группы исследователей также изучали возможности использования технологии блокчейн в качестве инфраструктуры для BOTNET, наиболее важными исследованиями являются ZombieCoin, Botract и UnblockableChains, первые два основаны на Ethereum.
«BOTCHAIN - это первый полнофункциональный ботнет, построенный на протоколе Биткойн, в отличие от других подобных ботнетов, BOTCHAIN, имеет такие же характеристики высокой доступности, потому что зомби не имеют жестко запрограммированного адреса C2, злоумышленники могут использовать любой кошелек в качестве C2, в отличие от Zombiecoin, он использует скрытый сервис для динамического обнаружения C2, такой как SKYNET BOTNET 2012 года ». Объяснил Пироцци.
«В течение года мошенники применяли различные методы для создания более устойчивых и скрытых топологий для своих ботнетов, от простого IRC или HTTP до UDP через TCP или P2P сети или DGA или злоупотребления облачными сервисами. Все эти методы уязвимы для удаления со стороны правоохранительных органов и охранных фирм после обнаружения топологии сети. В этом PoC обнаружение и анализ одного единственного BOT не раскрывает весь ботнет или его часть ».
«Конечно, есть экономический аспект, который следует учитывать при работе с ботнетом, использующим ботнет на основе блокчейна Биткойн. Мы проанализировали это в нашем исследовании, и я могу сказать вам, что это не проблема для постоянных участников, которые хотят использовать его в целевых атаках ». - сказал Паганини.
Гэвин Андресон, главный научный сотрудник Bitcoin Foundation, заявил, что «использование C&C на блокчейне будет« очень дорогостоящим »из-за комиссий за транзакции, которые хакерам придется платить. Он также отметил, что операторы ботнетов не хотят, чтобы их преступления регистрировались постоянно ».
Пироцци также сказал:
«Если вы платите слишком низкую комиссию за транзакцию, ваша транзакция может никогда не быть подтверждена и застрянет, это ограничение для операторов ботнетов, но на рынке биткойнов есть определенные моменты, которые более удобны для совершения транзакции, потому что транзакционная комиссия за байт становится низкий. Мошенники могли использовать эти конкретные моменты для проведения масштабной злонамеренной кампании».
Некоторые эксперты по безопасности и правоохранительные органы считают, что киберпреступники могут начать использовать блокчейн в злонамеренных целях.
Исследование включает в себя некоторые предложения и открытые точки для смягчения этого вида угроз. Эксперты по безопасности объяснили, что одним из возможных решений является использование черного списка для майнеров, чтобы избежать проверки блоков, в которых находится вредоносное содержимое, но открытой проблемой остается идентификация этих конкретных блоков, что может быть очень сложно из-за введения механизмов обфускации.
Многие эксперты считают, что квантовые компьютеры позволят изменять данные внутри каждой транзакции, но сейчас это невозможно, и, вероятно, внедрение квантовой криптографии предотвратит это.
В то время как невозможно прервать связь между ботом и C2, также, если мы можем идентифицировать вовлеченные транзакции, этот аспект должен быть тщательно проанализирован.
Ниже видео PoC BotChain:
Эксперт по безопасности Антонио Пироцци, директор лаборатории вредоносных программ ZLab компании Cybaze, представленный на конференции ЕС по киберугрозам в Дублине, вместе с Пьерлуиджи Паганини (он же @securityaffairs) провел исследование о том, как мошенники могут использовать блокчейн в злонамеренных целях.
Презентация под названием « BOTCHAIN aka The Dark side of Blockchain» включает подробности о первом полнофункциональном ботнете, построенном на протоколе Биткойн, под названием «BOTCHAIN».
Блокчейн представляет собой систему «только для чтения» по своей конструкции, она устойчива к модификации данных и обеспечивает запись транзакций между двумя сторонами проверяемым и надежным способом без необходимости участия третьей стороны. Эти свойства делают блокчейн привилегированной технологией для различных приложений (например, приложений здравоохранения, отслеживания цепочки поставок, смарт-контрактов, управления идентификацией), но киберпреступники могут злоупотреблять им для выполнения злонамеренных действий.
Пироцци объясняет, что киберпреступники уже использовали блокчейн в атаках в дикой природе, например, в случае популярного кардинг магазина Joker's Stash, когда они внедрили одноранговую систему DNS на основе блокчейна.
Веб-сайт Automated Vending Cart (AVC) был запущен в 2017 году с использованием DNS с блокчейном вместе с доменом Tor (.onion), чтобы скрыть вредоносные действия и настроить свою платформу. ДВУ на основе блокчейнов, такие как .bit, .bazar и .coin, предоставляют киберпреступникам новый уровень скрытности для их онлайн-рынка.
Pirozzi привел недавнее исследование, проведенные учеными из Аахена университета (Германия), который демонстрирует, как blockchain может быть использована в качестве постоянного хранения для любого вида данных, даже нелегальные вещи, таких как содержание детской порнографии и пропаганда терроризма. Эксперты проанализировали транзакции биткойнов и обнаружили не менее 274 ссылок на контент о жестоком обращении с детьми или ссылки на темные веб-сервисы.
Пироцци и Паганини практически продемонстрировали, как киберпреступники могут использовать блокчейн в своих злонамеренных целях.
«Киберпреступники могут использовать поле« OP_RETURN »транзакции биткойнов для доставки механизма контроля вредоносного ПО, команд ботнета или механизма распространения вредоносного ПО, как это также было представлено на конференции Black Hat ASIA 2016 Кристианом Карамом из Интерпола и Виталием Камлуком из KASPERSKY», - сказал Пироцци.
«Наше исследование демонстрирует возможность злоупотребления технологией блокчейна для создания механизма управления и контроля для вредоносного ПО, использующего блокчейн. BOTCHAIN - это первый полнофункциональный ботнет, построенный на протоколе Биткойн ». Добавлен Паганини. «Многие злоумышленники, включая APT-группы, уже имеют технические возможности для разработки такого рода ботнетов, по этой причине крайне важно изучить, как злоумышленники могут злоупотреблять блокчейном»
Пироцци объяснил, что в прошлом другие группы исследователей также изучали возможности использования технологии блокчейн в качестве инфраструктуры для BOTNET, наиболее важными исследованиями являются ZombieCoin, Botract и UnblockableChains, первые два основаны на Ethereum.
«BOTCHAIN - это первый полнофункциональный ботнет, построенный на протоколе Биткойн, в отличие от других подобных ботнетов, BOTCHAIN, имеет такие же характеристики высокой доступности, потому что зомби не имеют жестко запрограммированного адреса C2, злоумышленники могут использовать любой кошелек в качестве C2, в отличие от Zombiecoin, он использует скрытый сервис для динамического обнаружения C2, такой как SKYNET BOTNET 2012 года ». Объяснил Пироцци.
«В течение года мошенники применяли различные методы для создания более устойчивых и скрытых топологий для своих ботнетов, от простого IRC или HTTP до UDP через TCP или P2P сети или DGA или злоупотребления облачными сервисами. Все эти методы уязвимы для удаления со стороны правоохранительных органов и охранных фирм после обнаружения топологии сети. В этом PoC обнаружение и анализ одного единственного BOT не раскрывает весь ботнет или его часть ».
«Конечно, есть экономический аспект, который следует учитывать при работе с ботнетом, использующим ботнет на основе блокчейна Биткойн. Мы проанализировали это в нашем исследовании, и я могу сказать вам, что это не проблема для постоянных участников, которые хотят использовать его в целевых атаках ». - сказал Паганини.
Гэвин Андресон, главный научный сотрудник Bitcoin Foundation, заявил, что «использование C&C на блокчейне будет« очень дорогостоящим »из-за комиссий за транзакции, которые хакерам придется платить. Он также отметил, что операторы ботнетов не хотят, чтобы их преступления регистрировались постоянно ».
Пироцци также сказал:
«Если вы платите слишком низкую комиссию за транзакцию, ваша транзакция может никогда не быть подтверждена и застрянет, это ограничение для операторов ботнетов, но на рынке биткойнов есть определенные моменты, которые более удобны для совершения транзакции, потому что транзакционная комиссия за байт становится низкий. Мошенники могли использовать эти конкретные моменты для проведения масштабной злонамеренной кампании».
Некоторые эксперты по безопасности и правоохранительные органы считают, что киберпреступники могут начать использовать блокчейн в злонамеренных целях.
Исследование включает в себя некоторые предложения и открытые точки для смягчения этого вида угроз. Эксперты по безопасности объяснили, что одним из возможных решений является использование черного списка для майнеров, чтобы избежать проверки блоков, в которых находится вредоносное содержимое, но открытой проблемой остается идентификация этих конкретных блоков, что может быть очень сложно из-за введения механизмов обфускации.
Многие эксперты считают, что квантовые компьютеры позволят изменять данные внутри каждой транзакции, но сейчас это невозможно, и, вероятно, внедрение квантовой криптографии предотвратит это.
В то время как невозможно прервать связь между ботом и C2, также, если мы можем идентифицировать вовлеченные транзакции, этот аспект должен быть тщательно проанализирован.
Ниже видео PoC BotChain:
