奇安信X实验室发现一种名为Smargaft的新型僵尸网络，它利用币安智能链的合约托管C2，并结合病毒式感染和Shell脚本实现持久化。与常见的Mirai、Gafgyt变种不同，Smargaft在程序逻辑结构上进行了重新设计，并创新性地采用了EtherHiding技术，这是一种高级且少见的Bullet-Proof Hosting技法。Smargaft的主要功能包括DDoS攻击、执行系统命令和提供socks5代理服务。通过智能合约托管C2，攻击者可以实现云端配置，甚至根据特定条件自动更新C2或调整攻击策略。这种新型威胁的出现，增加了监测和管理的难度，因此奇安信X实验室决定分享这一发现，以帮助社区更有效地识别和预防此类网络威胁。

💡Smargaft僵尸网络利用币安智能链的合约托管C2，实现命令和控制，这是一种被称为EtherHiding的高级Bullet-Proof Hosting技术，利用了区块链的公开性和不可篡改性。

🛡️该僵尸网络通过病毒式感染和Shell脚本实现持久化，复用了一些Gafgyt的攻击向量，但程序逻辑结构经过重新设计，表明其作者具备一定的技术实力。

🌐Smargaft的主要功能包括DDoS攻击、执行系统命令和提供socks5代理服务，这些功能使其能够对目标系统造成严重威胁。

🔄智能合约托管C2的方式赋予了攻击者极高的灵活性，他们可以通过监控代码和智能合约进行互动，实现满足特定条件时自动更新C2，或者根据环境变化自动调整攻击策略。

原创 奇安信X实验室 2024-02-02 10:27 北京

Smargaft利用币安智能链（Binance Smart Chain）的合约托管命令和控制中心（C2），通过病毒式感染、Shell脚本实现持久化。主要功能是DDoS攻击，执行系统命令，提供socks5代理服务等。

        在XLab的日常工作中，我们的僵尸网络监控系统每天都能检测到大量基于Mirai, Gafgyt代码魔改而来的变体的僵尸网络。这些变体已经司空见惯，无法引起我们的兴趣。然而，今天的主角是一个异类，虽然它复用了一些Gafgyt的攻击向量，但很明显程序的逻辑结构是重新设计的。除此之外其作者还有一些让人眼前一亮的创新，比如利用币安智能链（Binance Smart Chain）的合约托管命令和控制中心（C2），比如通过病毒式感染Shell脚本实现持久化等。我们在进行逆向分析时，发现一些杀毒软件将这个僵尸网络的ARM样本标记为Mirai，这是不准确的。基于这个僵尸网络使用智能合约以及Gafgyt的攻击向量，我们将它命名为Smargaft，它的主要功能是DDoS攻击，执行系统命令，提供socks5代理服务等。

Smargaft最大的亮点是使用智能合约托管C2，这种技术于2023年10月被首次披露，业内称之为EtherHiding，它充分利用区块链的公开性和不可篡改性，"链上”的C2无法被移除，是一种相当高级且少见的Bullet-Proof Hosting技法。这是我们在僵尸网络领域首次见到此类技术的应用。智能合约这种云端配置C2的另一个好处就是灵活性，病毒作者甚至可以通过精心设计监控代码和智能合约进行互动，实现满足特定条件时自动更新 C2 ，或者根据环境变化自动调整攻击策略。鉴于合约一旦被滥用即可能迅速成为网络犯罪的有力工具，从而大幅增加了监测和管理的难度，我们决定撰写本文与社区分享我们的最新发现，希望能够帮助大家更有效地识别和预防这类新型网络威胁。

关于本文的详细分析，请点击下方阅读原文

阅读原文