dogecoin en kullanım durumları görünüşte zaman içinde gelişmiştir. Meme coin ilk olarak 2014 yılında bir şaka olarak yaratıldı ve 2015 yılında en popüler kripto para birimlerinden biri haline geldi. Elon Musk'ın favorisi 2018 yılında bir projenin parçasıydı TikTok meydan okuması 2020 içinde.
Ancak para birimi açısından işler daha da karanlık bir hal aldı; Güvenlik firması Intezer Labs, bilgisayar korsanlarının artık kripto madenciliği botnet'lerini kontrol etmek için tokenı kullandığını söyledi. rapor bu hafta.
Ne kadar DOGE, ne kadar hack
New York merkezli bir kötü amaçlı yazılım analiz ve tespit firması olan Intezer Labs, meşhur "Doki" arka kapısını kullanan bilgisayar korsanlarının çevrimiçi varlıklarını maskelemek için Dogecoin cüzdanlarını kullandıklarını ortaya çıkardı.
Firma, Ocak 2020'den bu yana bir truva atı virüsü olan Doki'yi analiz ettiğini ancak yakın zamanda bunun kripto madenciliği kötü amaçlı yazılımlarının kurulumunda ve bakımında kullanıldığını keşfettiğini söyledi.
Tespit edilemeyen Doki saldırısı, aktif olarak savunmasızlara bulaşıyor #Liman işçisi buluttaki sunucular. Saldırgan, C&C etki alanları oluşturmak için DogeCoin dijital cüzdanını temel alan yeni bir Etki Alanı Oluşturma Algoritması (DGA) kullanır. Araştırmayı yapan: @NicoleFishi19 ve @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) Temmuz 28, 2020
Firma, Ngrok adlı bir bilgisayar korsanının, web sunucularına sızmak için Dogecoin cüzdanlarını kullanmanın bir yöntemini ortaya çıkardığını belirtti. Bu kullanım, daha komik amaçlarla bilinen meme parasının ilk örneğidir.
Intezer Labs, Doki'nin Dogecoin blok zincirini benzersiz bir şekilde kötüye kullanarak operatörüyle iletişim kurmak için daha önce belgelenmemiş bir yöntem kullandığını ortaya çıkardı.Kontrol ve komut (C&C) etki alanı adreslerini dinamik olarak oluşturmak için.
Dogecoin işlemlerini kullanmak, saldırganların Ngrok'u çalıştıran etkilenen bilgisayar veya sunuculardaki bu C&C adreslerini değiştirmesine olanak tanıdı. Monero madencilik botları. Bunu yapmak, bilgisayar korsanlarının çevrimiçi konumlarını maskelemelerine olanak tanıdı ve böylece yasal ve siber suç yetkilileri tarafından tespit edilmesi engellendi.
Intezer Labs raporunda şunları açıkladı:
"Bazı kötü amaçlı yazılım türleri, kaynak kodlarında bulunan ham IP adreslerine veya sabit kodlu URL'lere bağlanırken, Doki, Dogecoin API'sini kullanarak kontrol ve komut (C&C) adresini belirlemek için dinamik bir algoritma kullandı."
Firma, bu adımların, güvenlik firmalarının Doki'yi devirmek için bilgisayar korsanının Dogecoin cüzdanına erişmesi gerektiği anlamına geldiğini ve bunun, cüzdanın özel anahtarlarını bilmeden "imkansız" olduğunu ekledi.
Sunucuları kontrol etmek için DOGE'yi kullanma
Doki'yi kullanmak, Ngrok'un kripto madenciliği operasyonlarını yürütmek için yeni konuşlandırılan Alpine Linux sunucularını kontrol etmesine olanak sağladı. Yeni talimatlar için bağlanması gereken kontrol ve komut (C&C) sunucusunun URL'sini belirlemek ve değiştirmek için Doki hizmetini kullandılar.
Intezer araştırmacıları, aşağıdaki resimde gösterildiği gibi ilk adımları detaylandırarak süreci tersine tasarladılar:
Yukarıdakiler tamamen uygulandığında Ngrok çetesi, kontrol ettikleri Dogecoin cüzdanından tek bir işlem yaparak Doki'nin komut sunucularını değiştirebilir.
Ancak bu daha büyük bir saldırının sadece bir parçasıydı. Ngrok çetesi komuta sunucularına erişim sağladıktan sonra Monero madenciliği için başka bir botnet konuşlandırdı. Dogecoin ve Doki yalnızca erişim köprüsü görevi görüyordu. ZDNet araştırmacı Catalin Cimpanu tweet attı:
Her neyse, Doki, benzersiz bir C&C DGA kullanırken aslında daha büyük bir saldırı zincirinin, yani Ngrok kripto madenciliği ekibinin bir parçasıdır.
Bu bilgisayar korsanları, Monero madenciliği için yeni Alpine Linux görüntülerini dağıtmak için kullandıkları yanlış yapılandırılmış Docker API'lerini hedef alıyor (Doki burada erişim kısmıdır) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) Instagram Profilini Görüntüle Temmuz 28, 2020
Intezer, Doki'nin bu Ocak ayından bu yana aktif olduğunu ancak Linux sunucularında kullanılan 60 "VirusTotal" tarama yazılımının tamamında tespit edilmediğini söyledi.
Bugün itibariyle saldırı halen aktiftir. Intezer, kötü amaçlı yazılım operatörlerinin ve "kripto madenciliği çetelerinin" bu yöntemi aktif olarak kullandığını söyledi.
Ama bu büyük bir endişe değil. Firma, virüse maruz kalmayı önlemenin kolay olduğunu söylüyor; herhangi bir kritik uygulama süreci arayüzünün (API) tamamen çevrimdışı olduğundan ve internetle etkileşime giren herhangi bir uygulamaya bağlı olmadığından emin olunması yeterlidir.
Gibi görmek ne? Günlük güncellemeler için abone olun.
Kaynak: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/