Ботнет Aeternum C2 использует блокчейн Polygon для устойчивых C2-операций

Ботнет Aeternum C2 использует блокчейн для устойчивости командного центра

Специалисты по кибербезопасности из Qrator Labs выявили сложный загрузчик ботнета Aeternum C2, который использует блокчейн Polygon для хранения зашифрованных команд управления (C2). Этот инновационный подход повышает устойчивость ботнета к традиционным методам ликвидации, так как устраняет зависимость от централизованных серверов или доменов для C2-операций.

Технические детали

Ботнет Aeternum C2 выделяется тем, что использует публичный блокчейн Polygon — децентрализованный и защищённый от подделок реестр — для размещения своей C2-инфраструктуры. В отличие от традиционных ботнетов, которые зависят от статических IP-адресов, доменов или защищённых хостингов, Aeternum внедряет зашифрованные команды непосредственно в транзакции блокчейна. Этот метод обеспечивает:

• Устойчивость: Команды остаются доступными даже после ликвидации традиционных C2-серверов.
• Сокрытие: Трафик C2, основанный на блокчейне, маскируется под легитимные транзакции, усложняя обнаружение.
• Децентрализация: Отсутствие единой точки отказа делает ликвидацию ботнета значительно сложнее.

Анализ Qrator Labs подчёркивает, что операторы ботнета эксплуатируют неизменяемость и прозрачность блокчейн-технологий для поддержания непрерывности операций. Хотя точный механизм шифрования остаётся нераскрытым, использование блокчейна указывает на высокую степень изощрённости в сокрытии вредоносной активности.

Анализ воздействия

Использование блокчейна для C2-операций создаёт ряд проблем для специалистов по защите:

1. Устойчивость к ликвидации: Традиционные методы пресечения ботнетов, такие как изъятие доменов или перенаправление серверов (sinkholing), неэффективны против децентрализованной C2-инфраструктуры.
2. Сложность обнаружения: Транзакции в блокчейне публичны, но выявление вредоносных payload требует применения продвинутых эвристических методов или поведенческого анализа.
3. Трудности атрибуции: Псевдонимный характер транзакций в блокчейне усложняет отслеживание операторов ботнета.

Для предприятий и команд по кибербезопасности это развитие событий подчёркивает необходимость усиленного мониторинга взаимодействий с блокчейном и адаптивных стратегий обнаружения угроз для противодействия новым C2-техникам.

Рекомендации

Специалистам по безопасности следует рассмотреть следующие меры для снижения рисков, связанных с ботнетами на базе блокчейна:

• Мониторинг транзакций в блокчейне: Развёртывание инструментов, способных анализировать данные блокчейна на предмет аномальных паттернов или зашифрованных payload.
• Усиление обнаружения на конечных точках: Внедрение поведенческого анализа для выявления активности ботнета, даже если трафик C2 выглядит легитимным.
• Сотрудничество с экспертами по блокчейн-криминалистике: Привлечение специалистов для отслеживания и атрибуции вредоносных транзакций в блокчейне.
• Обновление разведданных об угрозах: Включение индикаторов компрометации (IoC), связанных с Aeternum C2, в существующие системы безопасности.

По мере того как злоумышленники продолжают внедрять инновации, защитникам необходимо адаптироваться, интегрируя блокчейн-ориентированные решения безопасности в свой арсенал. Ботнет Aeternum C2 служит напоминанием о том, что децентрализованные технологии, несмотря на их преимущества в многих контекстах, могут быть использованы для обхода традиционных мер безопасности.