НАЗАД К НОВОСТЯМ
Срочные новости

Ботнет Aeternum использует блокчейн Polygon для устойчивой инфраструктуры C&C

3 мин чтенияИсточник: SecurityWeek

Исследователи обнаружили, что ботнет Aeternum применяет смарт-контракты Polygon для децентрализованной системы управления, усложняя его нейтрализацию. Узнайте о рисках и мерах защиты.

Ботнет Aeternum внедряет блокчейн Polygon для повышения устойчивости C&C

Специалисты по кибербезопасности выявили инновационный подход, используемый загрузчиком ботнета Aeternum, который теперь применяет смарт-контракты блокчейна Polygon для создания высокоустойчивой инфраструктуры командного управления (C&C). Это развитие знаменует значительную эволюцию в работе ботнетов, использующих децентрализованные технологии для уклонения от традиционных методов нейтрализации.

Основные детали

  • Название ботнета: Aeternum (вариант загрузчика)
  • Используемый блокчейн: Polygon (решение второго уровня, совместимое с Ethereum)
  • Механизм: Смарт-контракты для связи с C&C
  • Влияние: Повышенная устойчивость к нарушениям инфраструктуры

Техническая реализация

Операторы Aeternum интегрировали смарт-контракты на базе Polygon для обеспечения связи с C&C. В отличие от традиционных ботнетов, которые полагаются на централизованные серверы или алгоритмы генерации доменов (DGA), этот подход использует неизменяемую и распределённую природу блокчейна для:

  • Устранения единых точек отказа: Смарт-контракты развёрнуты в децентрализованной сети, что делает практически невозможным уничтожение инфраструктуры C&C традиционными методами (например, захватом серверов или перенаправлением DNS).
  • Повышения скрытности: Команды внедряются в транзакции блокчейна, маскируясь под легитимный трафик и усложняя обнаружение.
  • Обеспечения устойчивости: Даже при компрометации узлов ботнет может динамически перестраиваться, используя альтернативные адреса контрактов или резервные механизмы.

Хотя точные адреса смарт-контрактов или хеши транзакций не раскрываются, исследователи отмечают, что реализация Aeternum напоминает методы, наблюдаемые в других вредоносных программах на базе блокчейна, таких как ранние эксперименты TrickBot с Ethereum или использование Glupteba Bitcoin для C&C.

Анализ влияния

Использование блокчейна Polygon для операций C&C создаёт ряд проблем для специалистов по защите:

  1. Устойчивость к нейтрализации: Традиционные методы борьбы с ботнетами — такие как захват серверов C&C или отзыв доменов — неэффективны против децентрализованной инфраструктуры. Правоохранительным органам и ИБ-командам теперь приходится сталкиваться с постоянством данных в блокчейне и юрисдикционными сложностями, присущими сетям блокчейна.

  2. Уклонение от обнаружения: Транзакции в блокчейне зашифрованы и распределены, что затрудняет выделение вредоносного трафика C&C из легитимной активности сети Polygon. Инструменты обнаружения на основе сигнатур могут не справляться с идентификацией ботнет-коммуникаций без продвинутого поведенческого анализа.

  3. Масштабируемость: Низкая стоимость и высокая пропускная способность сети второго уровня Polygon позволяют Aeternum быстро масштабироваться, потенциально расширяя размер ботнета без пропорционального увеличения операционных затрат.

  4. Сложности атрибуции: Псевдонимность блокчейна усложняет отслеживание операторов ботнета, так как транзакции могут быть скрыты с помощью миксеров или кошельков с усиленной конфиденциальностью.

Рекомендации для ИБ-команд

Для снижения рисков, связанных с ботнетами на базе блокчейна, такими как Aeternum, организациям следует:

  • Мониторить активность в блокчейне: Развёртывать инструменты, способные анализировать транзакции Polygon и Ethereum на предмет аномальных паттернов, указывающих на связь с C&C. Решения вроде Chainalysis или TRM Labs могут помочь отслеживать подозрительную активность в блокчейне.

  • Усилить обнаружение на конечных точках: Приоритизировать обнаружение на основе поведения для выявления заражений ботнетом, обращая внимание на такие индикаторы, как:

    • Необычные исходящие соединения с RPC-узлами блокчейна.
    • Процессы, пытающиеся взаимодействовать с криптовалютными кошельками или смарт-контрактами.

  • Внедрить сегментацию сети: Изолировать критически важные системы от конечных точек, которые могут взаимодействовать с сетями блокчейна, снижая потенциал горизонтального перемещения ботнет-малвари.

  • Сотрудничать с экспертами по блокчейн-криминалистике: Взаимодействовать с компаниями, специализирующимися на блокчейн-криминалистике, для отслеживания и прерывания транзакций, связанных с ботнетом, особенно в сотрудничестве с правоохранительными органами.

  • Следить за новыми угрозами: Отслеживать рекомендации от CISA, MITRE и вендоров в сфере ИБ для получения обновлений о тактиках, техниках и процедурах (TTP) вредоносного ПО на базе блокчейна.

Заключение

Использование смарт-контрактов Polygon ботнетом Aeternum для операций C&C подчёркивает растущую сложность инфраструктуры ботнетов. Поскольку злоумышленники продолжают эксплуатировать децентрализованные технологии, ИБ-командам необходимо адаптироваться, интегрируя обнаружение угроз на базе блокчейна и децентрализованную разведку угроз в свои защитные стратегии. Дальнейшие исследования логики смарт-контрактов Aeternum могут выявить возможности для контрмер, но на данный момент ботнет остаётся серьёзной проблемой для традиционных средств киберзащиты.

Поделиться

TwitterLinkedIn