Botnet protetta da una blockchain Bitcoin

Botnet protetta da una blockchain Bitcoin

Akami ha scoperto una botnet che sfrutta la blockchain Bitcoin per nascondere l'indirizzo IP del server usato per il controllo remoto dei computer.
Akami ha scoperto una botnet che sfrutta la blockchain Bitcoin per nascondere l'indirizzo IP del server usato per il controllo remoto dei computer.

Il funzionamento di una botnet è basato sul controllo remoto dei computer infettati dal malware, ma se i comandi inviati dal server vengono intercettati tramite un processo noto come sinkholing, la botnet cessa di funzionare. Akamai ha scoperto che alcuni cybercriminali utilizzano una blockchain Bitcoin per nascondere l'indirizzo IP del server.

Botnet protetta dalla blockchain

I server C&C (Command and Control) di una botnet inviano comandi ai computer infettati e distribuiscono gli aggiornamenti del malware. Per evitare l'interruzione del “servizio”, l'indirizzo IP del server è stato codificato nella blockchain Bitcoin, il registro delle transazioni effettuate con la moneta digitale. In questo modo l'indirizzo IP non può essere cambiato, cancellato o bloccato.

L'ingegnoso sistema adottato dai cybercriminali sfrutta l'indirizzo del portafoglio Bitcoin come record DNS per convertire i valori Satoshi (0,00000001 BTC) nell'indirizzo IP del server. La botnet esaminata da Akamai conserva l'indirizzo IP del server nelle due transazioni più recenti del portafoglio 1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq.

Ognuna delle due transazioni è usata per rappresentare due ottetti dell'indirizzo IP. Il valore di 6.957 Satoshi convertito in esadecimale diventa 0x1b2d. Il primo byte (0x1b) convertito in numero intero diventa 45, ovvero il terzo ottetto dell'indirizzo IP. Il secondo byte (0x2d) corrisponde a 27, il quarto ottetto dell'indirizzo IP.

L'equivalente esadecimale della seconda transazione di 36.305 Satoshi è 0x8dd1. Utilizzando lo stesso procedimento si ottengono il secondo e il primo ottetto, ovvero 141 e 209. L'indirizzo IP del server è quindi 209.141.45.27. Questo server viene utilizzato solo se quello principale restituisce un errore HTTP diverso da 200 o 405.

Conversione indirizzo wallet - IP

Per prendere il controllo della botnet è quindi sufficiente rispondere con un codice 200. In alternativa è possibile inviare al portafoglio un singolo Satoshi per cambiare l'indirizzo IP calcolato. Si possono tuttavia adottare diversi miglioramenti per rendere inattaccabile la botnet tramite blockchain.

Fonte: Akamai
Link copiato negli appunti

Ti potrebbe interessare

25 02 2021
Link copiato negli appunti