可用-黑客

新 Orchard 僵尸网络使用比特币创始人的账户信息生成恶意域名

  • 浏览次数 6522
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

malware

据观察,一个名为Orchard的新僵尸网络使用比特币创始人中本聪的账户交易信息生成域名,以隐藏命令和控制(C2)基础设施。

奇虎360的Netlab安全团队的研究人员在周五的一份报告中表示:“由于比特币交易的不确定性,这种技术比使用常见的时间生成(域生成算法)更不可预测,因此更难防御。”

据说自2021年2月以来,Orchard已经进行了三次修订,其中僵尸网络主要用于将额外的有效载荷部署到受害者的机器上,并执行从C2服务器接收到的命令。

它还旨在上传设备和用户信息以及感染USB存储设备,以传播恶意软件。Netlab的分析显示,迄今为止,已有超过3000台主机被该恶意软件奴役,其中大部分位于中国。

Orchard在一年多的时间里也经历了重大更新,其中之一就是在Golang的实施方面进行了短暂的尝试,然后在第三次迭代中切换回C++。

除此之外,最新版本包含启动XMRig挖矿程序的功能,通过滥用受损系统的资源来铸造门罗币(XMR)。

另一个变化涉及攻击中使用的DGA算法。虽然前两个版本完全依靠日期字符串来生成域名,但较新版本使用从加密货币钱包地址“1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”获得的余额信息。

值得指出的是,钱包地址是比特币创世纪区块的矿工奖励接收地址,该地址发生在2009年1月3日,据信由中本聪持有。

研究人员表示:“在过去十年左右的时间里,由于各种原因,每天都有少量比特币被转移到这个钱包中,所以它是可变的,而且这种变化很难预测,因此这个钱包的余额信息也可以用作DGA输入。”

研究人员揭开了一个名为RapperBot的物联网僵尸网络恶意软件的神秘面纱,该恶意软件被发现可以强制SSH服务器进行分布式拒绝服务(DDoS)攻击。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文