主页 > imtoken钱包地址转账查询 > FBI是如何拦截黑客私钥追回赎金损失的?剪贴板劫持值得我们关注
FBI是如何拦截黑客私钥追回赎金损失的?剪贴板劫持值得我们关注
专业知识来源 | 安全网站威胁帖子
编辑写作 | 百泽研究院
一叶知秋,秋风习习。 我们度过了一个“有点冷”的加密夏天。 在这几个月里,几乎每周都会有新的黑客和勒索软件攻击发生。 无论是 Colonial Pipeline、JBS、Massachusetts Steamboat、Fujifilms 还是新闻中的任何其他组织,网络犯罪似乎比以往任何时候都更受关注。
最近的一份报告显示,网络犯罪给世界造成的损失超过 1 万亿美元,预计到 2025 年全球经济将损失 10.5 万亿美元。
关于今年的黑客勒索事件,最著名的当属美国最大的管道运营商Colonial Pipeline向破坏服务器和网站的黑客以及其他在暗网上出售数据的网络犯罪团伙支付了440万美元,因为黑客攻击导致美国东海岸燃油价格飙升。
所有这些事件和攻击都有一个很强的共性:黑客想要加密货币。
黑客如何获利?
黑客可以通过多种方式从受害者身上获利。 其中一些方法脱颖而出:
1. 勒索软件
加密受害者的计算机系统,包括他们的个人数据和文件,会给受害者一种要求赎金的紧迫感和困惑感。 黑客通常要求在短时间内付款并威胁要泄露数据。
勒索软件速度快且利润丰厚,潜在利润从数千美元到数百万美元不等。 如果受害者受到勒索软件的攻击,这将清楚地显示在他们的计算机屏幕上,他们知道自己受到了攻击。 这就消除了黑客“隐身”的隐患。
2. 出售或滥用被盗数据
如果黑客可以访问被攻击的数据库并且可以监听网络通信或敏感信息,他们就可以使用它。 黑客可能会在暗网上向其他黑客出售访问权限,或使用找到的银行信息、信用卡数据或凭据来窃取账户存款。 总而言之,它们可以造成很大的伤害。
虽然这种方法比勒索软件更隐蔽,但仍然存在成为警方目标的风险。 另外,如果黑客决定出售这些信息,他们可能找不到买家。 最终,这种方法会产生如此多的可变结果,以至于黑客可能会选择不同的策略。
3. 隐藏挖矿木马——“黑客的ATM”
在侵入受害者的计算机后,他们可以为所欲为。 通常,黑客会安装“后门”,以确保他们拥有持久的访问权限,并可以长时间保持对计算机的控制。 这种持久访问是以一个小的、不显眼的“存根”的形式实现的,它可能隐藏在计算机自动运行的一段代码中。
虽然继续控制受害者的计算机本身并不能赚钱,但您的计算机已成为这些黑客未来的“提款机”。
受控计算机“被迫”计算哈希值,以便挖掘比特币、以太币、门罗币或他们喜欢的任何其他加密货币。 这会耗尽受控计算机的 CPU、RAM 和其他资源,增加受害者的电费。 因为它保持隐藏状态捡到比特币私钥,每次受害者打开计算机时捡到比特币私钥,矿工都会自动运行。
在以上三种黑客常见的盈利方式中,加密货币的慢速挖矿短期内赚的钱最少。 但是,如果这种攻击没有引起注意,从长远来看,它可能会带来丰厚的回报,特别是如果它同时针对多个受害者。 这种类型的攻击是最隐蔽的,以缓慢、非侵入性的方式执行。 与勒索软件(受害者知道自己受到威胁)不同,如果加密货币矿工正在运行,受害者可能根本不会注意到。
加密货币——黑客的完美逃亡之车
由于加密货币/区块链本身的自主性、匿名性、永久性和开放性,加密货币是黑客的完美“逃生工具”。 使用加密货币,没有银行或政府的监督; 没有银行手续费、账户维护费、最低余额限制或透支费。
如果黑客只接受加密货币支付,黑客几乎可以一直保持匿名。 加密货币交易不会泄露身份信息、电子邮件地址、姓名或任何详细信息。
也许加密货币对黑客最有吸引力的特点是它们的永久性:一旦汇款,就无法取回,区块链上的交易回滚也不太可能发生。 这意味着对于像勒索软件这样的攻击,黑客可以从中获利。
了解区块链或加密货币的朋友此时可能会有疑问:加密货币的一个重要考虑因素是交易存储和显示在分布式账本上。 任何人都可以通过浏览器在区块链上查看资金的去向,“如果交易是公开的,坏人怎么能保持匿名呢?”
请注意,钱包地址和转账本身不携带个人身份信息。 最重要的是,黑客可能经常通过“混合器”发送资金或通过多个钱包转移加密货币来“清洗”加密货币。 事实上,有一些去中心化协议可以为你做这件事,比如“洗”以太坊(ETH)的tornado.cash。 通过多个钱包汇款减少了与原钱包地址的连接,可以大大增加隐私程度。
抛开一些加密货币给区块链带来的丰富创新,仅考虑与黑客相关的问题,比特币、以太坊等加密货币仍然是“黑客货币”。 没有监管机构,加密货币市场可以继续不受监管地运行,同时仍然为黑客提供“逃生工具”,因为没有其他技术可以帮助黑客“完美犯罪”。
FBI是如何截获私钥并挽回赎金损失的?
虽然比特币交易是匿名的,但可以通过区块链记录跟踪资金,以了解这些交易的实际内容和去向。 下面我们就带大家还原发生在今年夏天的美国最大的管道运营商Colonial Pipeline的勒索软件攻击事件。
今年早些时候,Colonial Pipeline 遭到了勒索软件的攻击。 最终,该公司支付了 440 万美元的比特币来恢复他们的系统和数据。 由于这是一次非常大规模的攻击,联邦调查局(FBI)也介入其中,并最终“查封”了黑客的钱包地址。
6 月初,支付给黑客的数百万美元被 FBI 追回并归还给 Colonial Pipeline。 就案件结果本身而言,这是一个巨大的成就,是网络安全斗争的一大进步。 随后,美国联邦调查局发布了一份追踪比特币资金流向的报告。
虽然案件中的加密货币钱包地址在报告中是隐藏的,但由于它们遵循区块链的可识别特征,因此可以很容易地在区块链记录中找到它们。
在确定完整的钱包地址后,我们可以在区块链上找到这个钱包,并查看转移的内容和时间。
请注意,截图中地址的比特币数量和钱包地址的后半部分与FBI报告一致。 而且比特币的价格是波动的,所以截图中显示的值会和今天不一样。
追踪资金流向
检查 FBI 报告中描述的步骤 28-33,我们可以追踪到大约五个不同的钱包地址,这个比特币去了哪里。
距离黑客的原始钱包地址只有五笔转账,看来黑客并没有使用“混合器”。 他们只是……转移了钱……仅此而已。
由此产生的交易将 63 个比特币发送到 FBI 没收的钱包地址。 但是63个BTC和75个比特币的赎金金额不一致,这是为什么呢?
其他比特币呢?
需要注意的是,无论当前 BTC/USD 汇率如何,63 BTC ≠ 75 BTC。 我们只能推测,部分初始资金可能流向了与黑客有关联的公司或合作伙伴,因为众所周知 DarkSide(Colonial Pipeline 攻击背后的勒索软件团伙)确实与其他人合作。 也许这些资金被发送到的钱包地址不是 FBI 控制并且无法从中恢复的地址。
然而值得庆幸的是,鉴于比特币的价格波动和“查封”钱包中的可用资金,最初支付给黑客的 440 万美元中的 230 万美元被追回。
FBI 是如何访问钱包的?
不幸的是,我们也对此感到疑惑。 不管是什么原因,还是通过什么方式,FBI终于查到了这个钱包地址对应的私钥,但是获取方式并没有公开。 当然,可能是黑客犯了一些错误,或者是其他泄密事件,甚至是 FBI 主动入侵……但这仍然是个谜。
黑客对加密货币的采用有多普遍?
在“黑市”中,有许多只使用加密货币买卖恶意软件或黑客服务的犯罪分子。
在大多数情况下,这些服务或商品会显示一个加密的二维码,让买家可以轻松付款。 如果买家无法扫描二维码,网页会显示卖家的数字货币钱包地址,买家可自行在钱包内转账。
这在恶意软件市场和黑客论坛中很常见,它只是工具和框架,可以用加密货币购买一些。
加密黑客的“新宠”——剪贴板劫持
最让我们害怕的是黑客的小攻击形式——更改用户复制粘贴的钱包地址。 黑客可以在受害者准备汇款时锁定计算机的剪贴板并修改钱包地址。 通过向用户的计算机注入恶意软件,可以进行简单的切换,在转账时将收款人的钱包地址替换为黑客自己的钱包地址。 当加密货币汇入黑客地址后,由于区块链的特性,受害者根本无法取回。
网络安全公司 Threat Post 最近发现了一个远程控制木马,它隐藏在一个可疑的名为“AdobeColorCR_ExtraSettings_1_0-mul.zip”的常见自动运行文件中。
技术人员在“刮”出文件的外壳后,终于获得了恶意文件的核心代码,发现了一个明确的远程访问木马(RAT)功能——与传统木马一样(具有收发数据和执行的能力)命令)能力)。
这个恶意文件最有趣的部分来了,技术人员发现了名为“funcCret”和“sendClib”的特殊函数。 这就是上面提到的“剪贴板攻击”。 funcCret”包括加密货币钱包地址,并将自动检查受害计算机的剪贴板数据以查找任何钱包地址。如果在剪贴板中找到钱包地址(例如,用户“复制”了一个购买物品的地址),“sendClib”函数会将剪贴板中的内容替换为黑客的恶意钱包地址,黑客的恶意钱包地址如下图所示:
我们可以先假设图中圈出的代码中的“bch”是指比特币现金(BCH),“etho”是指以太坊(ETH),那么“Mizu”是什么?
技术人员通过在比特币区块链浏览器中搜索“Mizu”地址,发现汇入该地址的比特币数量如此之多,以至于该钱包地址中的比特币总价值超过200万美元。
使用这种“剪贴板劫持”技术的黑客现在已经赚取了超过 200 万美元。
Threat Post 公司已将攻击中使用的恶意软件和恶意钱包地址报告给该比特币滥用数据库。
我们需要注意
无论是否可以通过公共区块链跟踪资金,事实仍然是黑客热衷于在恶意软件中使用加密货币来兑现合法的现实世界资产(比特币)。
虽然我们已经看到勒索软件猖獗,信息和数据在暗网上被拍卖,远程挖矿木马偷偷利用我们的计算机资源来挖掘加密货币,但这种剪贴板劫持技术同样值得我们关注。 如果我们不仔细查看 Windows 文件系统的各个角落,检查是否有可以自动运行的程序或应用程序,下一个受伤的可能就是我们。