高招！僵尸网络把备用控制服务器的IP嵌入区块链交易中

资安业者Akamai在最近发现一起挖矿僵尸网络活动，首先骇客将备用的命令暨控制（Command and Control，C&C）服务器位址藏匿在比特币区块链的交易中，而让它更难被侦测或封锁。

这是发生在Akamai客户身上的实际案例，此一僵尸恶意程式先是开采了一个远端程式攻击漏洞，以下载及执行恶意的Shell Script，估计骇客在最近的3年内已借由此一挖矿僵尸网络，在门罗币的多个公开矿池中获利超过3万美元，该恶意程式兼具关闭安全功能、移除竞争对手的感染、下载、常驻与挖矿功能。

Akamai解释，通常这类的恶意程式都具备常驻及更新功能，透过网域及静态的IP地址来更新恶意程式版本或进行重新感染，只是一旦被逮到，相关的网域或IP地址就会被扣押，就算骇客多半会准备备份架构，让恶意程式转向与备份C&C服务器通讯，但大规模的协调破获行动也会一并扫荡这些备份机制。

不过，Akamai在去年侦测到该恶意程式变种出现一个比特币钱包的位址，仔细钻研后发现，原来骇客把备份C&C服务器的IP地址藏匿在比特币区块链的交易中，使其无法被侦测或封锁。

分析显示，骇客把备份C&C服务器的IP地址存放在特定钱包最近两次比特币交易中，这两次的交易都是以比特币的最小单位Satoshi进行，以减轻成本，1个Satoshi等于0.00000001 BTC，约莫是0.0004美元。恶意程式可解码这两次交易的Satoshi值，以iThome的IP地址220.130.119.130为例，最近一次交易的Satoshi值负责转换成119.130，最近第二次交易的Satoshi值则可转换成220.130，于是便可得出220.130.119.130。

骇客选用了可能是作为洗钱之用的公开加密货币钱包，该钱包的流动率很高，因而可遮掩骇客的意图。

不过，研究人员指出，要摧毁骇客的此一作法并不难，因为骇客并未控制该钱包，而且只利用该钱包最近两次的交易，因此只要频繁地送出小额的Satoshi交易至该钱包，就能阻断恶意程式取得备份C&C服务器IP地址的能力。

尽管Akamai预期此一手法将会被其它骇客效法，但研究显示目前该手法尚未成熟，还有许多尚待改善之处，只是拒绝透露细节以免成为骇客的帮凶。