Dogecoin است موارد استفاده ظاهراً در طول زمان تکامل یافته اند. میم کوین در ابتدا به عنوان یک شوخی در سال 2014 ایجاد شد و در سال 2015 به یکی از داغ ترین ارزهای دیجیتال تبدیل شد. مورد علاقه ایلان ماسک در سال 2018، و بخشی از یک چالش TikTok در 2020.
اما اوضاع برای این ارز تغییری تیرهتر پیدا کرده است. به گفته شرکت امنیتی Intezer Labs، هکرها اکنون از این توکن برای کنترل باتنتهای استخراج کریپتو استفاده میکنند. گزارش این هفته است.
چنین DOGE، هک بسیار
Intezer Labs، یک شرکت تجزیه و تحلیل و شناسایی بدافزار مستقر در نیویورک، دریافت که هکرها با استفاده از درب پشتی بدنام "Doki" از کیف پول Dogecoin برای پنهان کردن حضور آنلاین خود استفاده می کنند.
این شرکت گفت که از ژانویه 2020 در حال تجزیه و تحلیل Doki، یک ویروس تروجان بوده است، اما اخیراً متوجه استفاده از آن در نصب و نگهداری بدافزارهای استخراج رمزنگاری شده است.
حمله Doki شناسایی نشده به طور فعال آسیب پذیر را آلوده می کند #بارانداز سرورها در فضای ابری مهاجم از یک الگوریتم جدید تولید دامنه (DGA) مبتنی بر کیف پول دیجیتال DogeCoin برای تولید دامنه های C&C استفاده می کند. تحقیق توسط @NicoleFishi19 و @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) ژوئیه 28، 2020
این شرکت خاطرنشان کرد که یک هکر - که توسط Ngrok خوانده می شود - روشی را برای استفاده از کیف پول های Dogecoin برای نفوذ به سرورهای وب کشف کرده بود. این استفاده اولین مورد از این نوع برای سکه میم است، که در غیر این صورت برای اهداف خنده دار شناخته می شود.
آزمایشگاه های Intezer دریافتند که Doki از روشی که قبلاً مستند نشده بود برای تماس با اپراتور خود با سوء استفاده از بلاک چین Dogecoin به روشی منحصر به فرد در O استفاده می کرد.برای تولید پویا آدرس های دامنه کنترل و فرمان (C&C).
استفاده از تراکنشهای Dogecoin به مهاجمان این امکان را میدهد که این آدرسهای C&C را در هر رایانه یا سرور آسیبدیدهای که Ngrok's را اجرا میکردند تغییر دهند. Monero ربات های ماینینگ انجام این کار به هکرها اجازه میدهد تا موقعیت آنلاین خود را پنهان کنند، بنابراین از شناسایی توسط مقامات قانونی و مجرمان سایبری جلوگیری میشود.
آزمایشگاه اینتزر در گزارش خود توضیح داد:
در حالی که برخی از گونههای بدافزار به آدرسهای IP خام یا URLهای رمزگذاری شده موجود در کد منبع آنها متصل میشوند، Doki از یک الگوریتم پویا برای تعیین آدرس کنترل و فرمان (C&C) با استفاده از Dogecoin API استفاده کرد.
این شرکت اضافه کرد که این مراحل به این معنی است که شرکتهای امنیتی باید به کیف پول Dogecoin هکر دسترسی داشته باشند تا Doki را از بین ببرند، که بدون اطلاع از کلیدهای خصوصی کیف پول "غیرممکن" بود.
استفاده از DOGE برای کنترل سرورها
استفاده از Doki به Ngrok اجازه داد تا سرورهای Alpine Linux تازه مستقر شده خود را برای اجرای عملیات استخراج رمزنگاری خود کنترل کند. آنها از سرویس Doki برای تعیین و تغییر URL سرور کنترل و فرمان (C&C) مورد نیاز برای اتصال برای دستورالعملهای جدید استفاده کردند.
محققان Intezer این فرآیند را مهندسی معکوس کردند و مراحل اولیه را همانطور که در تصویر زیر نشان داده شده است، شرح دادند:
هنگامی که موارد فوق به طور کامل اجرا شد، باند Ngrok میتوانست سرورهای دستوری Doki را با انجام یک تراکنش از داخل کیف پول Dogecoin که کنترل میکرد، تغییر دهد.
با این حال، این تنها بخشی از یک حمله بزرگتر بود. هنگامی که باند Ngrok به سرورهای فرمان دسترسی پیدا کرد، بات نت دیگری را برای استخراج مونرو مستقر کرد. Dogecoin و Doki فقط به عنوان پل دسترسی عمل کردند ZDNet محقق کاتالین سیمپانو در توییتی نوشت:
به هر حال، Doki، در حالی که از یک DGA منحصر به فرد C&C استفاده می کند، در واقع بخشی از یک زنجیره حمله بزرگتر است - یعنی خدمه استخراج رمزنگاری Ngrok.
این هکرها APIهای Docker با پیکربندی نادرست را هدف قرار می دهند که از آنها برای استقرار تصاویر جدید Alpine Linux برای استخراج Monero استفاده می کنند (Doki بخش دسترسی در اینجا است) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (campuscodi) ژوئیه 28، 2020
اینتزر گفت که Doki از ژانویه امسال فعال بوده است، اما در تمام 60 نرم افزار اسکن "VirusTotal" مورد استفاده در سرورهای لینوکس شناسایی نشده است.
از امروز، این حمله همچنان فعال است. اینتزر گفت که اپراتورهای بدافزار و "باندهای استخراج رمزارز" به طور فعال از این روش استفاده می کنند.
اما نگرانی بزرگی نیست. این شرکت می گوید جلوگیری از قرار گرفتن در معرض ویروس آسان است. فقط باید اطمینان حاصل شود که هر رابط فرآیند برنامه کاربردی (API) کاملاً آفلاین است و به هیچ برنامهای که با اینترنت تعامل دارد متصل نیست.