本文来自微信公众号“嘶吼专业版”,作者/ang010ela。
Guardio Labs研究人员Nati Tal和Oleg Zaytsev发现黑客使用了一种名为EtherHiding的代码分发技术,滥用币安智能链(BSC)的智能合约来隐藏恶意脚本。在该网络攻击活动中,攻击者使用劫持的WordPress网站误导用户下载恶意虚造的浏览器更新,然后将用户重定向到Cloudflare Worker主机来注入恶意脚本到被黑的网站。由于滥用的Cloudflare Worker主机被拦截,随后攻击者转向使用去中心化、匿名的公开区块链系统提供更加可靠和隐蔽的分发信道,使用区块链系统使得攻击活动难以检测和拦截。
EtherHiding恶意软件
EtherHiding是名为ClearFake的黑客组织用来分发代码的新技术,分发的代码被注入到被黑的网站上以展示虚假的浏览器更新,Guardio Labs研究人员解释称黑客正在攻击有价值的WordPress网站或被黑的管理员凭证来注入两个脚本标签到网站。这些脚本注入会加载币安智能链JS库,并从区块链取回恶意脚本,并注入到网站中。
图为连接币安链的JS
从币安链取回的代码会注入到网站中,以触发第三阶段payload的下载。第三阶段payload是从攻击者所有的C2服务器下载的,C2地址直接来源于区块链,所以攻击者可以很轻松地修改以绕过拦截方法。用户浏览器中运行的第三阶段payload会在网站上展示一个虚假的覆盖,要求用户更新Chrome、Edge或Firefox浏览器。
图为展示在被黑网站上的虚假Chrome更新
一旦受害者点击更新按钮,就会被重定向到Dropbox或其他合法的托管网站来下载恶意可执行文件。
图为最新的ClearFake攻击链
使用区块链的优势
区块链是用来运行去中心化应用和智能合约的,区块链上的代码无法被修改和删除,所以使用区块链作为基础设施可以使得攻击活动无法被拦截。如果其中一个域名被识别和标记,攻击者可以更新链来交换为其他恶意代码和相关的域名。此外,做这些修改不会产生费用,所以网络犯罪分子可以滥用这些系统进行攻击活动而无需承担额外的成本。
图为恶意智能合约
智能合约部署在币安链上后,可以匿名运行,且无法被阻止。即使将该地址报告为恶意的,也无法阻止其分发恶意代码。Guardio Labs称报告该地址会触发币安链浏览器页面的告警不要与该地址交互,但被黑的WordPress网站访问者不会看到这样的告警信息。
图为币安链上报告的地址
解决这一问题的唯一方法就是关注WordPress安全,使用强、唯一的管理员密码,保持插件更新,移除不使用的账户。随着区块链方法的优势,未来区块链滥用于payload分发会变得越来越频繁。