Notícias

Especialistas apresentam a BOTCHAIN, a primeira botnet funcional baseada no protocolo do Bitcoin

Como todos sabemos qualquer protocolo pode ser usado de forma maliciosa. E parece que dois pesquisadores conseguiram demonstr algo na Conferência de Cyber Segurança em Dublin. Os dois são o Pierluigi Paganini ( responsável pelo blog SecurityAffairs ) e Antonio Pirozzi, diretor do laboratório Zlab da empresa Cybaze.

A apresentação de nome “Botchain aka the Dark Side of the Blockchain inclui detalhes sobre uma botnet totalmente funcional construída em cima do protocolo Bitcoin.

Louco né ? Como entusiasta da tecnologia eu achei muito legal.

A blockchain é um sistema somente leitura por design que é resiliente a modificação de dados e fornece o registro das transações entre duas partes de maneira verificável e confiável sem a necessidade de um terceiro ( aliás, aquilo que torna esta rede interessante ). Essas propriedades tornam a blockchain uma tecnologia muito indicada para diversos tipos de aplicativos ( por exemplo, de assistência médica, rastreamento de cadeia de suprimentos, contratos inteligentes, gerenciamento de identidades ), mas, como qualquer tecnologia, pode fornecer a criminosos a capacidade de executar atividades maliciosas.

Pirozzi na apresentação disse que cibercriminosos já exploraram a blockchain em ataques no mundo real, por exemplo, na loja de cartas Joker’s Stash quando adotaram um sistema de DNS peer-to-peer baseado em blockchain.

O site Automated Vending Cart ( AVC ) foi lançado em 2017 usando um DNS blockchain usando um domínio onion ( rede Tor ) para ocultar as atividades maliciosas, e, com isto criar algo bem difícil de ser rastreado.

O TLDs baseado em blockchain, como .bit, .bazar e .coin oferecem aos criminosos cibernéticos um novo nível de capacidade de ocultar seus mercados online.

O pesquisador Pirozzi citou um estudo recente conduzido pelos pesquisadores da Aachen University que demonstra como a Blockchain poderia ser usada como um armazenamento permanente para qualquer tipo de dados, mesmo material ilegal como conteúdo relacionado a pornografia infantil e propaganda terrorista. Os especialistas analisaram as transaçõs do Bitcoin e encontraram pelo menos 274 links para conteúdo de abuso infantil ou links para serviços web obscuros.

Pirozzi e Paganini demonstraram praticamente como os cibercriminosos podem abusar do blockchain para suas atividades maliciosas.

“O cibercriminoso poderia abusar do campo “OP_RETURN” de uma transação de Bitcoin para entregar o mecanismo de controle de malware, comandos botnet ou mecanismo de distribuição de malware, como também foi apresentado durante a conferência Black Hat ASIA 2016 por Christian Karam da INTERPOL e VITALY Kamluk da KASPERSKY”, disse Pirozzi.

“Nossa pesquisa demonstra que é possível abusar da tecnologia blockchain para configurar um mecanismo de comando e controle para um malware que aproveite a blockchain.
A BOTCHAIN é a primeira botnet totalmente funcional construída sobre o protocolo Bitcoin”, acrescentou Paganini. “Muitos agentes de ameaças, incluindo grupos de APT, já possuem recursos técnicos para desenvolver este tipo de botnet, por isso, é crucial explorar como os atacantes podem ser aproveitar da blockchain”.

E o pior que isto já havia sido tentado e implementado. No passado, sob a tecnologia Ethereum foram construídas duas botnets, ZombieCoin e Botract.

E outra em cima do Bitcoin que foi a UnblockableCoins.

O que diferencia da Botchain do restante é que ela está completamente funcional.

O que é interessante na BOTCHAIN é que ela é capaz de usar qualquer carteira C2 pois os zumbis não tem um endereço deste tipo. Na Zombiecoin, por exemplo, isto já seria necessário.

Ao longo do ano, de acordo com eles os trapaceiros adotaram diversas técnicas para as topologias de suas botnets, como IRC ou HTTP a UDP sobre TCP, como também redes P2P e DGA ou abusando de algum serviço de nuvem.

No PoC que eles fizeram a descoberta de um único BOT não revela toda a rede ou parte dela, pois ela tem uma estrutura … distribuída né ?

Quando se fala de Bitcoin logicamente temos um aspecto econômico envolvido em tudo. E isto foi analisado na pesquisa.

Gavin Anderson que é um cientista-chefe da Bitcoin Foundation declarou que usar o C&C no Blockchain seria muito caro devido as taxas de transação que os meliantes teriam que pagar e também, ele levantou algo muito interessante. Operadores de botnet não querem registros permanentes do que eles estão fazendo.
Pirozzi também disse:

“Se você pagar taxas de transação muito baixas, sua transação pode nunca ser confirmada e ficará paralisada, e este é um limite para operadores de botnets, mas há momentos específicos no mercado Bitcoin que são mais convenientes para fazer uma transação porque as taxas de transação por byte se tornam bem baratas. Os bandidos podem explorar esses momentos específicos para realizar uma campanha maliciosa massiva ”.

Isto é algo que já era esperado, pois especialistas de segurança e agências do governo já esperavam que os cibercriminosos iriam usar a Blockchain para fins maliciosos.

A pesquisa também inclui sugestões e pontos para mitigar este tipo de ameaça. Especialistas em segurança explicaram que uma possível solução seria usar uma lista negra para os mineradores a fim de evitar validação de blocos nos quais estão conteúdos maliciosos, mas a questão em aberto fica sendo como identificar estes blocos específicos, já que podem ser usados neles uma série de mecanismos de obfuscação.

Muitos especialistas acreditam que a solução possa estar nos computadores quânticos que pemitirão modificar dados dentro de uma transação, mas, no momento isto ainda não é possível agora.

Mesmo assim é bom lembrar que mesmo a computação quântica resolvendo este problema teremos a possibilidade de melhora também dos mecanismos que hoje geram problemas para serem descobertos. Ou seja, um joguinho de gato e rato, como sempre é esperado.

O que é chato, sendo descoberto este tipo de coisa é que não temos ainda como derrubar a comunicação entre o bot e o C2 e portanto, este aspecto e tentativas de proteger as pessoas desta ameaça valem pesquisas aprofundadas tanto da comunidade de segurança quanto da comunidade de desenvolvedores blockchain.

O PoC está logo abaixo e vale a pena realmente ser visto.

 

 

Via Security Affairs

 

Recomendados Para Você:

Sobre o autor

ataliba

Pai, marido, e analista de Sistemas que nos últimos anos se especializou em Linux e Unix e adora redes. Por este motivo celulares se tornaram seus grandes companheiros e no Android achou a mesma facilidade de personalização que tinha nos Linuxes.
A partir daí desenvolveu grande paixão pelo sistema operacional e é sobre isto que falará aqui.

Siga-nos nas Redes Sociais

Busca




Que tal nos acompanhar via Sparkle ?

Acompanhe nosso blog via Sparkle
Que tal nos acompanhar via Sparkle ? Asssine nossa trilha e receba nosso conteúdo automaticamente no seu smartphone.

/* ]]> */