Gizli komuta ve kontrol kanalları oluşturmak için blockchain teknolojisinden yararlanan, Golang’da yazılmış karmaşık bir bilgi hırsızlığı yapan kötü amaçlı yazılım ortaya çıktı.
SharkStealer, BNB Akıllı Zincir Testnet’i C2 altyapısı için dayanıklı bir çıkmaz çözümleyici olarak kullanarak kötü amaçlı yazılım tasarımında önemli bir evrimi temsil ediyor.
Bu yeni yaklaşım, tehdit aktörlerinin geleneksel algılama mekanizmalarından kaçınmak ve kalıcı iletişim kanallarını sürdürmek için Web3 teknolojilerinden nasıl yararlandığını gösteriyor.
Kötü amaçlı yazılım, EtherHiding olarak bilinen, kritik enfeksiyon zinciri bileşenlerinin geleneksel web sunucuları yerine halka açık blok zincirlerde depolandığı yenilikçi bir teknik kullanıyor.
Bu yöntem, değişmez blockchain ağlarını, savunucuların etkili bir şekilde bozmaya veya izlemeye çalıştığı sansüre dayanıklı altyapıya dönüştürür.
SharkStealer, C2 adreslerini akıllı sözleşme yanıtlarına yerleştirerek, geleneksel alanlar veya IP adresleri engellendiğinde bile çalışır durumda kalan dağıtılmış bir iletişim katmanı oluşturur.
SharkStealer’ın saldırı vektörü, şifreleme yoluyla operasyonel güvenliği korurken halka açık blockchain ağlarının şeffaflığından ve kullanılabilirliğinden yararlanmaya odaklanıyor.
VMRay analistleri, kötü amaçlı yazılımın, BSC Testnet düğümlerinde konuşlandırılan belirli akıllı sözleşmelere Ethereum RPC eth_call istekleri gönderdiğini belirledi.
Bu sözleşmeler, sorgulandığında bir başlatma vektörü (IV) ve şifrelenmiş yük içeren tuple’ları döndürerek şifrelenmiş veri havuzları olarak hizmet eder.
Kötü amaçlı yazılım daha sonra ikili dosyaya gömülü sabit kodlu bir AES-CFB anahtarını kullanarak bu verilerin şifresini çözer ve sonuçta gerçek C2 sunucu adreslerini çıkarır.
C2 Çözünürlüğünün Teknik Analizi
Bulaşma mekanizması, BSC Testnet RPC uç noktası olan data-seed-prebsc-2-s1.binance.org:8545’e güvenli bir bağlantı kurulmasıyla başlayan çok aşamalı bir süreçle çalışır.
Aşağıdaki kod parçacığı, SharkStealer’ın JSON-RPC isteğini nasıl oluşturduğunu göstermektedir: –
v87.Jsonrpc.ptr = "2.0";
v87.Method.ptr = "eth_call";
v77.To.ptr = "0x3dd7a9c28cfedf1c462581eb7150212bcf3f9edf";
v77.Data.ptr = "0x24c12bf6";.webp)
Kötü amaçlı yazılımın C2 çözümleme mekanizması, blockchain etkileşimini geleneksel şifreleme teknikleriyle birleştiren gelişmiş bir mühendislik sergiliyor.
Eth_call isteği hedef akıllı sözleşme adreslerine (özellikle 0xc2c25784E78AeE4C2Cb16d40358632Ed27eeaF8E ve 0x3dd7a9c28cfedf1c462581eb7150212bcf3f9edf) ulaştığında sözleşmeler 0x24c12bf6 işlevini yürütür ve geri döner. şifrelenmiş C2 verileri.
Şifre çözme işlemi, yükün şifresini çözmek için sabit kodlanmış anahtarı dinamik olarak alınan IV ile birleştiren AES-CFB modunu kullanır.
Örnek SHA-256 hash 3d54cbbab911d09ecaec19acb292e476b0073d14e227d79919740511109d9274’ün analizi, 84.54.44.48’de aktif C2 sunucularını ve securemetricsapi.live’ı ortaya çıkardı ve bu da tekniğin operasyonel etkinliğini ortaya koydu.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
