😇
牛牛的安全 Odin
  • 个人介绍
  • 数据安全
  • 工控安全
    • 工控概念
  • 车联网安全合规
    • R155
    • CSMS\VTA
    • GDPR认证
  • 车联网安全
    • 漏洞订阅
    • 汽车攻击时间轴
    • 汽车信息安全研究
      • 车厂安全需求 Custom Requirement
      • 安全威胁
      • 参考文章
      • Who’s Behind the Wheel?
      • 安全研究基础
      • 智能网联汽车安全渗透指标
      • 智能网联汽车软件安全测试关键技术研究
      • 基于硬件在环的整车控制器功能安全测试技术研究
      • 智能网联汽车信息安全解决方案
      • 自动驾驶汽车的安全性-识别挑战
    • ECU逆向案例
      • 特斯拉攻击链
      • 汽车动力系统ECU固件逆向工程初探
  • 物联网安全
    • IoT 技术和协议
    • 智能设备常规测试思路总结
    • 各种调试接口(SWD、JTAG、Jlink、Ulink、STlink)的区别
    • QEMU 系统仿真
      • 如何“用 QEMU 模拟它”
      • 处理加密的路由器固件
    • 自动分析Automated Approach
    • IOT渗透测试(一)
    • 物联网安全目录
  • 固件分析案例
    • 智能门锁、手环
      • MCU固件反汇编
      • 云丁鹿客门锁中bootloader和FreeRTOS的分析
      • 云丁鹿客门锁BLE通信的分析(下)
      • 云丁鹿客门锁BLE通信的分析(中)
      • 云丁鹿客门锁BLE通信的分析(上)
      • 华为智联旗下小豚AI摄像头的完整分析(下)
      • 华为智联旗下小豚AI摄像头的完整分析(上)
      • 海康萤石智能门锁的网关分析(4)
      • 海康萤石智能门锁的网关分析(3)
      • 海康萤石智能门锁的网关分析(2)
      • 海康萤石智能门锁的网关分析(1)
      • idapython编写和调试
      • 果加智能门锁的全面分析(下)
      • 果加智能门锁的全面分析(中)
      • 果加智能门锁的全面分析(上)
      • BLE智能手环
      • 耶鲁智能门锁的简单测试(下)
      • 耶鲁智能门锁的简单测试(上)
      • 耶鲁门锁漏洞
      • 对一款BLE灯泡的分析
      • BLE协议栈与Android BLE接口简介
    • 在IoT设备中查找端口对应进程的四种方法
    • 路由器命令执行
    • 对基于Philips TriMedia CPU的网络摄像机进行逆向工程
    • 从Microsoft Band以及 Hello Sense 设备中提取自己的历史数据
    • CVE-2021-22909- 深入研究 UBIQUITI 固件更新错误
    • 复现|摄像头固件重打包
    • Dlink_DWR-932B路由器固件分析
    • 针对小米九号平衡车的无接触式攻击
    • 记一次智能印章设备的漏洞挖掘
  • APP 逆向
    • Go二进制文件逆向分析从基础到进阶——综述
    • Switch APP逆向分析
  • 传统静态代码分析
    • 静态分析案例
      • ELF恶意软件的静态分析原理和方法(上)
      • ELF恶意软件的静态分析原理和方法(下)
    • 静态代码分析工具清单
    • 企业级静态代码分析工具清单
  • 应用安全测试
    • DAST、SAST、IAST
    • IAST 工具初探
  • 芯片架构
    • ARM指令集概念
    • ARM指令集
    • 冯·诺伊曼结构
    • 指令集
    • 处理器架构、指令集和汇编语言,三者有何关系?
  • 病毒分析
    • 熊猫烧香
  • 编程知识
    • REST API 教程
  • 流量分析工具
    • 卡巴斯基开源的智能手机流量劫持工具
    • 利用 Burp Suite 劫持 Android App 的流量(二)
    • 利用 Burp Suite 劫持 Android App 的流量(一)
  • 区块链安全
    • 安全多方计算
    • Chainalysis 团队从区块链的角度分析发现 2020 年最大的 4 起勒索软件攻击实现存在关联
  • 攻击案例
    • 特斯拉Powerwall网关可能受到黑客攻击
  • 移动应用
    • Mac上使用Charles抓包
    • 手机抓包工具汇总
    • APP渗透测试流程和技巧大全
    • 加壳和脱壳
    • 浅谈 Android Dex 文件
    • 移动应用漏洞分析样例分享
    • 移动应用常见漏洞分析
    • 移动应用漏洞分析工具介绍
    • 渗透测试流程详解 及 移动APP安全测试要点
    • Frida Android hook
  • 安全设计
    • 【软件安全设计】安全开发生命周期(SDL)
Powered by GitBook
On this page
  1. 区块链安全

Chainalysis 团队从区块链的角度分析发现 2020 年最大的 4 起勒索软件攻击实现存在关联

Previous安全多方计算Next攻击案例

Last updated 3 years ago

本文摘自《 Chainalysis 2021年加密犯罪报告》,点击下载完整内容。

网络安全研究人员指出,许多进行攻击的RaaS分支机构在不同病毒之间进行切换,并且许多看似不同的病毒实际上是由同一个人控制的。从区块链的角度分析,Chainalysis 团队的研究人员研究了2020年最著名的四种勒索软件之间的潜在联系:Maze、Egregor、SunCrypt和Doppelpaymer。

这四种勒索病毒去年相当活跃,攻击了Barnes & Noble、LG、Pemex和University Hospital New Jersey等知名机构。这四家机构都使用了RaaS模型,这意味着它们的分支机构自己实施了勒索软件攻击,并将每个受害者支付的部分款项返还给病毒的创建者和管理员,这四家机构还采用了“双重勒索(double extortion)”策略。勒索软件攻击虽然谈不上是什么新鲜事物,但在刚刚过去的2020年中,它正在渐渐成为各种规模、级别的企业或机构的头号威胁。

相比以往的勒索软件攻击,2020年的勒索软件攻击者们也对运营策略有所调整调整,一方面,各种规模的企业、机构都会成为勒索软件攻击的对象,不同的勒索软件运营组织在在攻击对象的选择上虽然有一些不同,但是综合来看,其整体覆盖面却更加广泛。另一方面,这些勒索软件的攻击者往往会选择窃取数据与索要赎金的方式来对受害者进行双重打击,这种手段也被称作是双重勒索。

以下是2019年末以来这四家机构的季度收入:

请注意,Egregor是在2020年第四季度(具体来说是9月中旬)之前才开始活跃的,即在Maze病毒变得不活跃之后不久。因此一些网络安全研究人员认为这是Maze和Egregor在某些方面存在联系的证据。11月初,Maze的运营商在其网站上发布了一份公告,称由于活动放缓,该机构已停止运营。不久之后,它的大多数机构都迁移到了Egregor,导致一些人认为Maze经营者只是简单的将Maze更名为Egregor,并指示机构加入。这是相对常见的勒索软件,虽然它也可能是子机构为自己决定的Egregor是他们的最佳选择。甚至有可能是Maze分支机构对Maze经营者感到不满,导致了分裂。然而,正如Bleeping Computer所指出的,Maze和Egregor共享了许多相同的代码,相同的勒索信的内容,并且拥有非常相似的受害者支付网站。网络安全机构Recorded Future也注意到了这一点,而且Egregor和一个名为QakBot的银行木马也有相似之处。

区块链分析表明在Maze、Egregor、SunCrypt和Doppelpaymer之间存在各种重叠和其他可能的联系。

正如研究人员所述,有间接证据表明这四种病毒之间的联系,以及相关衍生产品的报告。但是我们在区块链上看到了什么链接呢?让我们从Maze和SunCrypt开始。

上面的Chainalysis Reactor图表提供了有力的证据,这表明Maze勒索软件的机构也是SunCrypt的机构。从图的底部开始,我们可以看到Maze是如何分配在勒索软件攻击中获取的资金的。首先,每一次成功的赎金支付的大部分都进入了机构,因为他们承担了实际实施勒索软件攻击的风险。第二大的攻击是来自第三方的,虽然我们不能确定第三方的角色是什么,但我们相信它可能是一个辅助服务提供商,帮助Maze完成攻击。勒索软件攻击者通常依赖于第三方的工具,如防弹托管、渗透测试服务或访问受害者网络中的漏洞。这些辅助服务提供商可以在网络犯罪的暗网(darknet)论坛上销售他们的产品,但并不一定参与了所有的勒索软件攻击。最后,每笔赎金中最小的一部分进入了另一个钱包,研究人员认为这个钱包属于病毒管理人员。

但是在本文的示例中,研究人员看到Maze子公司还通过中介钱包向大约疑似SunCrypt管理员地址发送了资金(约9.55比特币,价值超过90000美元),研究人员将其认定为已整合钱包的一部分与几种不同的SunCrypt攻击有关的资金。这表明Maze关联公司还是SunCrypt的关联公司,或者可能以其他方式参与SunCrypt。

另一个Reactor图显示了Egregor和Doppelpaymer勒索软件病毒之间的联系。

在这个案例中,研究人员看到Egregor钱包向疑似Doppelpaymer管理员钱包发送了大约78.9比特币,价值约85万美元。尽管目前研究人员还不能确定,但这是另一个重叠的示例。研究人员的假设是,贴有Egregor标签的钱包是两家机构的机构向Doppelpaymer的管理员发送资金。

最后,下面的Reactor图显示了研究人员认为是Maze和Egregor管理员使用相同的洗钱基础设施的一个示例。

这两种“受害者支付”钱包都通过中间钱包将资金发送到一个著名加密货币交易所的两个存款地址。根据他们的交易模式,我们认为这两个存款地址都属于场外(OTC)经纪人,他们专门帮助勒索软件运营商和其他网络犯罪分子用非法获得的加密货币交易现金。以Maze为例,这些资金在到达OTC地址之前先流经另一个涉嫌洗钱服务,尚不清楚Maze是从该服务还是从OTC本身接收现金,而且OTC经纪人和进行洗钱的人也很可能服务是一样的。

虽然这并不意味着Maze和Egregor拥有相同的管理员或机构,但这仍然是执法部门的重要潜在线索。如果没有办法将不义之财转化为现金,那么与加密货币相关的犯罪就没有必要进行了。通过监视上图所示的洗钱服务机构或腐败的场外交易经纪人等不良行为者(后者又在一个大型的知名交易所中开展业务),执法部门可能会严重阻碍Maze和Egregor盈利的能力却没有真正抓住菌株的管理员或分支机构。也不仅仅是那些特定的勒索软件。

涉嫌洗钱服务还从Doppelpaymer,WastedLocker和Netwalker勒索软件中获得了资金,整个类别的加密货币价值近290万美元。同样,它从Hydra和FEShop等暗网市场获得了价值近65万美元的加密货币,图上的两个OTC经纪人地址也有类似的犯罪风险。

虽然研究人员不能肯定Maze、Egregor、SunCrypt或Doppelpaymer有相同的管理员,但可以肯定地说,他们中的一些人有共同的机构,研究人员还知道Maze和Egregor依靠相同的OTC经纪人将加密货币转换为现金,尽管他们是以不同的方式与这些经纪人互动。

也不仅仅是Egregor,在另一个攻击事件中,Bleeping Computer声称Suncrypt的代表联系了他们,声称在Maze宣布关闭之前,他们属于“Maze勒索软件卡特尔”的一部分,尽管Maze否认了这一点。然而,威胁情报机构私下传播的一份报告也支持了这种说法。该报告称,SunCrypt的代表将他们的变种描述为“一个知名勒索病毒变种的重写和重新命名版本”。Intel471的报告还称,SunCrypt一次只与少数几个子机构合作,SunCrypt运营商对这些子机构进行了广泛的采访和审查。因此,研究人员认为,SunCrypt和其他勒索软件之间的任何分支重叠,更有可能表明这两个病毒之间有更深层次的联系,而不仅仅是巧合。

Intel471
此处