加密貨幣憑藉自己的隱密性一直為網路犯罪分子們所喜愛,近年來,加密貨幣除了作為非法活動的支付方式外,惡意加密貨幣挖掘、加密貨幣錢包憑證收集、勒索活動等使用日漸頻繁。
區塊鏈提供的分布式賬本技術為網路犯罪分子提供了新的思路,dns解析本身就類似**本,將網域名稱與其ip位址的對映關係記錄並供查詢,於是區塊鏈也能實現網域名稱解析技術,但與傳統的dns解析不同。
我們正常使用的網域名稱所在的頂級網域名稱(tld)由網際網路名稱與數字位址分配機構(icann)維護,該機構負責網域名稱的管理,如發布註冊管理機構和註冊商如何運營和管理tld和網域名稱的規則,但不能對網域名稱進行干預性操作。網域名稱是it安全研究人員和執法機構的乙個重要目標,通常需要序號產生器構強制關停一些被濫用的**。
namecoin是一種基於位元幣**的加密貨幣,通過頂級網域名稱(tld).bit註冊和管理網域名稱,每個註冊namecoin網域名稱的人都是自己網域名稱的註冊商,且網域名稱的註冊不需要個人資訊,不受icann監管。對於網路犯罪分子來說,區塊鏈網域名稱不受標準dns提供商管理、不會被劫持和關閉以及良好的匿名性都是非常理想的遠控基礎設施性質。
opennic dns
將本地的預設dns修改為opennic dns。opennic dns專案是乙個開源的根dns專案,由志願者運營,他們捐贈了61臺公共伺服器。
**dns
瀏覽器外掛程式
chrome瀏覽器:
firefox瀏覽器:
opennic dns的維護者們也在致力於避免dns被濫用,調查發現有些opennic dns節點配置有黑名單,能夠攔截對於c2區塊鏈網域名稱的解析請求。
但是僅有15%的dns節點具備這樣的黑名單,所以處於安全考慮,仍舊建議個人或組織禁止使用opennic dns伺服器。
necurs
azorult
md5:3a3f739fceeedc38544f2c4b699674c5
首先查詢c2 網域名稱是否包含.bit字串,如果包含,則使用硬編碼在樣本內部的opennic dns ip位址解析網域名稱,其中硬編碼的ip位址有:
硬編碼的.bit網域名稱:
brownsloboz[.]bit
該樣本沒有通過硬編碼的opennic dns進行解析,而是使用dnsquery_a api按順序呼叫下列dns伺服器:
8.8.8.8(google dns)
sourpuss.net
ns1.opennameserver[.]org
freya.stelas[.]de
ns.dotbit[.]me
ns1.moderntld[.]com
ns1.rodgerbruce[.]com
ns14.ns.ph2network[.]org
newton.bambusoft[.]mx
secondary.server.edv-froehlich[.]de
philipostendorf[.]de
a.dnspod[.]com
b.dnspod[.]com
c.dnspod[.]com
corebot
snatch
coala ddos
chessylite
md5:ecea3030cce05b23301b3f2de2680abd
硬編碼的.bit網域名稱:
leomoon[.]bit
lookstat[.]bit
sysmonitor[.]bit
volstat[.]bit
xoonday[.]bit
opennic dns ip:
69.164.196.21
107.150.40.234
89.18.27.34
193.183.98.154
185.97.7.7
162.211.64.20
217.12.210.54
51.255.167.0
91.121.155.13
87.98.175.85
emotet
terdot
md5:347c574f7d07998e321f3d35a533bd99
硬編碼的ip:grandcrab ransomware
md5:9abe40bc867d1094c7c0551ab0a28210
通過匿名管道衍生出新的nslookup程序通過a.dnspod.com來解析以下區塊鏈域:
bleepingcomputer[.]bit
nomoreransom[.]bit
esetnod32[.]bit
emsisoft[.]bit
gandcrab[.]bit
smokeloader
monero miner
md5:fa1937b188cbb7fd371984010564db6e
使用dnsquery_a api連線到opennic dns節點185.121.177.177,解析網域名稱flashupd [.]bit
區塊鏈殭屍網路c2網域名稱
opennic dns節點(截至2017.09.24)
參考:
看懂區塊鏈網域名稱系列(一)
網域名稱是什麼 這個問題大部分人都知道,最開始ip協議出來了,每個上網的裝置,服務端和終端,都有乙個ip位址。但是如果你說你做了乙個東西給別人分享,由於 ip位址的辨識度不高,讓別人記住乙個ip位址,是比較費勁的事情。為了簡化這個記憶,就出現了網域名稱網域名稱系統dns。簡單來說,dns 就是乙個超...
區塊鏈節點和區塊區別 區塊鏈的「區塊」和「鏈」
2017年以來,區塊鏈大火,但是其技術相對生澀。很多 紛紛用通俗易懂的漫畫方式,簡單明瞭的體現出來了區塊鏈的區別和特點。區塊鏈由以前的一人記賬,變成了大家一起記賬的模式,讓賬目和交易更加安全,這就是分布式資料儲存。此外,區塊鏈相關的技術除了分布式儲存,還有去中心化 智慧型合約 加密演算法等等。分布式...
區塊鏈 區塊鏈雜湊演算法
雜湊演算法是區塊鏈中保證交易資訊不被篡改的單向密碼機制。雜湊演算法接收一段明文後,以一種不可逆的方式將其轉化為一段長度較短 位數固定的雜湊資料。它有兩個特點 加密過程不可逆,意味著我們無法通過輸出的雜湊資料倒推原本的明文是什麼 輸入的明文與輸出的雜湊資料一一對應,任何乙個輸入資訊的變化,都必將導致最...