警惕！比特币惊现全功能僵尸网络BOTCHAIN

安全专家在都柏林的欧盟网络威胁会议上与Pierluigi Paganini（又名@securityaffairs）一起进行了一项研究，讨论骗子如何滥用区块链进行恶意攻击。 

进行题为“BOTCHAIN又名区块链的黑暗面”的演讲内容包括有关第一个基于比特币协议的全功能僵尸网络的详细信息即是 “BOTCHAIN”。

区块链是一个设计“只读”的系统，它对数据修改具有弹性，并以可验证和可靠的方式提供双方之间的交易记录，而无需第三方。这些属性使区块链成为不同应用程序（即医疗保健应用程序，供应链跟踪，智能合约，身份管理）的特权技术，但它也可能被网络犯罪分子滥用以进行恶意活动。

安全人员解释说，网络犯罪分子已经在野外攻击中利用了区块链，例如在流行的梳理商店Joker's Stash采用基于区块链的点对点DNS系统的情况下。 

自动售货车（AVC）网站于2017年推出，使用区块链DNS及其Tor（.onion）域名来隐藏恶意活动并设置防弹平台。基于区块链的顶级域名（如.bit.bazar和.coin）为网络犯罪分子提供了新的在线市场隐蔽性。

皮罗齐引用了亚琛工业大学（德国）研究人员最近进行的一项研究，该研究表明区块链可以用作任何类型数据的永久存储，甚至包括儿童色情内容和恐怖主义宣传等非法内容。专家分析了比特币交易，发现至少有274个链接涉及虐待儿童内容或链接到黑暗网络服务。

安全专家实际上已经证明了网络犯罪分子如何滥用区块链以达到恶意目的。

“网络犯罪分子可能会滥用比特币交易的”OP_RETURN“字段来提供恶意软件控制机制，僵尸网络命令或恶意软件分发机制，这也是国际刑警组织的Christian Karam和KASPERSKY的VITALY Kamluk在Black Hat ASIA 2016会议期间提出的”安全专家说。 

“我们的研究表明，滥用区块链技术来设置利用区块链的恶意软件的命令和控制机制是可能的。BOTCHAIN是第一款基于比特币协议构建的功能齐全的僵尸网络。“安全专家补充道。“包括APT小组在内的许多威胁演员已经拥有开发此类僵尸网络的技术能力，因此，探索攻击者如何滥用区块链至关重要”

安全专家解释说，在过去，其他研究团队也研究了使用区块链技术作为BOTNET基础设施的可能性，最重要的研究是ZombieCoin，Botract和UnblockableChains，前两者基于以太坊。

“BOTCHAIN是第一个基于比特币协议的全功能BOTNET，与其他类似的僵尸网络不同，BOTCHAIN具有高可用性特征，因为僵尸没有任何硬编码的C2地址，攻击者可以使用任何钱包作为C2，不像Zombiecoin它使用隐藏像2012年的SKYNET BOTNET一样为C2动态发现服务”。安全专家解释道。

“在过去的一年里，骗子采用了不同的技术来为他们的僵尸网络构建更具弹性和隐蔽的拓扑结构，从简单的IRC或HTTP到UDP over TCP或P2P网络或DGA或滥用云服务。一旦发现网络拓扑结构，所有这些技术都很容易被执法机构和安全公司删除。在这个PoC中，单个BOT的发现和分析不会暴露整个僵尸网络或其中的一部分。” 

“当然，在使用基于比特币区块链的僵尸网络处理僵尸网络时，需要考虑一个经济方面。现在已经对它进行了分析，可以告诉你，对于想要在有针对性的攻击中使用它的持久性参与者来说，这不是一个问题。”安全专家说。

比特币基金会的首席科学家加文安德雷森宣称，“由于黑客必须支付的交易费用，”在区块链上使用C＆C将“非常昂贵”。他还指出僵尸网络运营商不希望有任何永久性的犯罪记录。 

安全专家表示： “如果您支付过低的交易费用，您的交易可能永远不会被确认并且将被卡住，这是僵尸网络运营商的限制，但比特币市场中有特定的时刻更方便进行交易，因为每个字节的交易费用变为低。骗子们可以利用这些特定的时刻进行恶意的大规模战役”。

对于一些安全专家和执法机构来说，网络犯罪分子可能会开始滥用区块链以达到恶意目的，这是一种普遍看法。

该研究包括一些缓解此类威胁的建议和开放点。安全专家解释说，一种可能的解决方案是为矿工使用黑名单，以避免对存在恶意内容的区块进行验证，但是由于引入了混淆机制，开放问题仍然是特定区块的标识可能非常困难。

许多专家认为量子计算机将允许修改每个事务中的数据，但现在这是不可能的，并且可能引入量子加密将阻止它。

（作者：区块链安全档案，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）