Aeternum僵尸网络利用Polygon区块链构建弹性C&C基础设施

Aeternum僵尸网络采用Polygon区块链增强C&C弹性

安全研究人员近期发现，Aeternum僵尸网络加载器采用了一种创新手段，通过Polygon区块链智能合约构建高度弹性的命令与控制（C&C）基础设施。这一进展标志着僵尸网络运作方式的重大演变，利用去中心化技术规避传统的打击行动。

关键细节

• 僵尸网络名称：Aeternum（加载器变种）
• 使用的区块链：Polygon（兼容以太坊的Layer 2解决方案）
• 机制：智能合约用于C&C通信
• 影响：显著提升基础设施抗干扰能力

技术实现

Aeternum的运营者已将基于Polygon的智能合约集成至C&C通信中。与依赖集中式服务器或域名生成算法（DGA）的传统僵尸网络不同，此方法利用区块链的不可篡改性和分布式特性，实现以下功能：

• 消除单点故障：智能合约部署于去中心化网络中，传统手段（如服务器扣押或DNS劫持）几乎无法摧毁其C&C基础设施。
• 增强隐蔽性：通信内容嵌入区块链交易中，与合法流量混杂，增加检测难度。
• 确保持久性：即使部分节点被攻陷，僵尸网络仍可通过备用合约地址或回退机制动态重组。

虽然具体的智能合约地址或交易哈希尚未公开，研究人员指出，Aeternum的实现方式与其他基于区块链的恶意软件类似，如TrickBot早期尝试使用以太坊或Glupteba利用比特币进行C&C通信。

影响分析

采用Polygon区块链进行C&C操作，给防御者带来了多重挑战：

1. 抗打击能力增强：传统僵尸网络打击手段（如查封C&C服务器或吊销域名）对去中心化基础设施无效。执法机构和安全团队必须应对链上数据永久性及区块链网络的管辖权复杂性。

2. 检测规避：区块链交易加密且分布式存储，难以区分恶意C&C流量与合法的Polygon网络活动。基于特征的检测工具可能无法识别僵尸网络通信，除非结合高级行为分析。

3. 可扩展性：Polygon Layer 2网络的低成本和高吞吐量使Aeternum能够快速扩展，潜在僵尸网络规模可迅速增长，而运营成本并未同比例增加。

4. 溯源难度：区块链的匿名性使追踪僵尸网络运营者变得复杂，交易可通过混币器或隐私钱包进行混淆。

安全团队建议

为应对基于区块链的僵尸网络（如Aeternum）威胁，组织应采取以下措施：

• 监控区块链活动：部署能够分析Polygon和以太坊交易的工具，识别可能指向C&C通信的异常模式。可借助Chainalysis或TRM Labs等解决方案跟踪可疑链上活动。

• 增强终端检测：优先采用基于行为的检测技术，关注以下指标：

  • 终端向区块链RPC节点发起的异常外联请求。
  • 进程尝试与加密货币钱包或智能合约交互的行为。

• 实施网络分段：将可能与区块链网络交互的终端与关键系统隔离，降低僵尸网络恶意软件横向移动的风险。

• 合作开展区块链取证：与专业区块链取证公司合作，追踪并干扰僵尸网络相关交易，尤其是与执法机构协同行动。

• 关注新兴威胁：持续跟踪CISA、MITRE及安全厂商发布的最新公告，了解基于区块链的恶意软件战术、技术与流程（TTPs）。

结论

Aeternum利用Polygon区块链智能合约进行C&C操作，凸显了僵尸网络基础设施的日益复杂化。随着威胁行为者不断利用去中心化技术，安全团队必须调整策略，将区块链感知检测和去中心化威胁情报纳入防御体系。未来对Aeternum智能合约逻辑的深入研究可能揭示反制机会，但目前该僵尸网络仍是传统网络安全防御的重大挑战。