index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本文介绍了名为Smargaft的僵尸网络,它复用部分Gafgyt攻击向量,利用币安智能链合约托管C2,通过病毒感染等实现持久化,主要功能有DDoS攻击等。该技术高级且少见,增加了监测难度,作者分享发现以助识别预防。
🦠Smargaft复用Gafgyt攻击向量,程序逻辑结构重新设计
💻利用币安智能链合约托管命令和控制中心(C2)
🚀通过病毒式感染、Shell脚本实现持久化,功能包括DDoS攻击等
🌟智能合约托管C2具高级性和少见性,增加监测管理难度
原创 奇安信X实验室 2024-02-02 10:27 北京
Smargaft利用币安智能链(Binance Smart Chain)的合约托管命令和控制中心(C2),通过病毒式感染、Shell脚本实现持久化。主要功能是DDoS攻击,执行系统命令,提供socks5代理服务等。
在XLab的日常工作中,我们的僵尸网络监控系统每天都能检测到大量基于Mirai, Gafgyt代码魔改而来的变体的僵尸网络。这些变体已经司空见惯,无法引起我们的兴趣。然而,今天的主角是一个异类,虽然它复用了一些Gafgyt的攻击向量,但很明显程序的逻辑结构是重新设计的。除此之外其作者还有一些让人眼前一亮的创新,比如利用币安智能链(Binance Smart Chain)的合约托管命令和控制中心(C2),比如通过病毒式感染Shell脚本实现持久化等。我们在进行逆向分析时,发现一些杀毒软件将这个僵尸网络的ARM样本标记为Mirai,这是不准确的。基于这个僵尸网络使用智能合约以及Gafgyt的攻击向量,我们将它命名为Smargaft,它的主要功能是DDoS攻击,执行系统命令,提供socks5代理服务等。
Smargaft最大的亮点是使用智能合约托管C2,这种技术于2023年10月被首次披露,业内称之为EtherHiding,它充分利用区块链的公开性和不可篡改性,"链上”的C2无法被移除,是一种相当高级且少见的Bullet-Proof Hosting技法。这是我们在僵尸网络领域首次见到此类技术的应用。智能合约这种云端配置C2的另一个好处就是灵活性,病毒作者甚至可以通过精心设计监控代码和智能合约进行互动,实现满足特定条件时自动更新 C2 ,或者根据环境变化自动调整攻击策略。鉴于合约一旦被滥用即可能迅速成为网络犯罪的有力工具,从而大幅增加了监测和管理的难度,我们决定撰写本文与社区分享我们的最新发现,希望能够帮助大家更有效地识别和预防这类新型网络威胁。
阅读原文
跳转微信打开
