Najnowsze analizy Qrator Research Lab ujawniły unikalne podejście do struktury command-and-control (C2) w nowym botnecie, nazwanym Aeternum C2. Zamiast stosowania klasycznych serwerów lub domen C2, które mogą zostać zablokowane lub przejęte przez organy ścigania, ten botnet przechowuje zaszyfrowane polecenia na publicznym łańcuchu bloków Polygon – sieci blockchain opartej na mechanizmie decentralizacji.
Taka konstrukcja sprawia, iż infrastruktura dowodzenia i kontroli jest niemal niemożliwa do usunięcia, ponieważ polecenia są zapisywane jako transakcje lub smart kontrakty na blockchainie, który jest powielany i utrwalany na tysiącach niezależnych węzłów na całym świecie.
Jak działa Aeternum C2?
Tradycyjne botnety polegają na scentralizowanych serwerach lub domenach, które wydają polecenia kontrolowanej sieci zainfekowanych komputerów. W przypadku Aeternum C2 nie ma jednego punktu, który można zamknąć – jeżeli operatorzy domeny C2 zostaną aresztowani lub domeny zablokowane, botnet przez cały czas funkcjonuje, ponieważ we wszystkich węzłach łańcucha bloków znajduje się kopia zapisanych poleceń.
Gdy klient infekuje nowe urządzenie, „bot” okresowo sprawdza publiczne punkty dostępu RPC (remote procedure call) do sieci Polygon, pobierając i odczytując nowe instrukcje zapisane w smart kontraktach. Dzięki temu każde zainfekowane urządzenie ma dostęp do aktualnego zestawu poleceń, niezależnie od tego, czy tradycyjne serwery C2 są dostępne, czy nie.
Badacze wskazują, iż Aeternum C2 jest napisany w native C++ i oferowany w wersjach zarówno 32-bitowych, jak i 64-bitowych, co zwiększa kompatybilność z różnymi systemami Windows.
Dlaczego wykorzystanie blockchain to duże utrudnienie
Decentralizacja infrastruktury C2 to poważne wyzwanie dla tradycyjnej obrony cybernetycznej. Gdy polecenia są przechowywane na blockchainie:
- nie ma centralnych serwerów, które można zidentyfikować i zlikwidować,
- transakcje są trwałe i nieodwracalne – raz zapisane polecenie nie może zostać usunięte ani zmienione bez zgody sieci,
- odporność na blokowanie domen i serwerów sprawia, iż takie botnety są trudniejsze do rozbicia niż klasyczne sieci z C2.
Czyni to proces wyłączania takich botnetów bardziej skomplikowanym dla organów ścigania i zespołów reagowania na incydenty, przyzwyczajonych do zamykania domen, blokowania serwerów czy sinkholowania adresów IP.
Nowe podejście
W notkach reklamowych oraz w analizach powiązanych z botnetem pojawiają się informacje, iż polecenia są przesyłane w formie zaszyfrowanej, co dodatkowo komplikuje ich analizę i detekcję w sieciach ofiar. Takie podejście utrudnia analizowanie sekwencji komend i próby ich blokowania na poziomie sieciowym lub endpointowym.
Ponadto Aeternum C2 jest oferowany jako narzędzie „na wynos” na undergroundowych forach i marketplace’ach, często z panelem zarządzania, opcjami automatycznego generowania botów i wsparciem dla publikowania poleceń bez infrastruktury serwerowej.
Dodatkowo botnet wyposażono w techniki anti-VM i mechanizmy przeciwdziałania wykryciu przez oprogramowanie zabezpieczające, co może pozwalać mu przetrwać skany w środowiskach wirtualnych i normalnych.
Nowe podejście Aeternum – wykorzystujące publiczny blockchain do C2 – może wskazywać na kolejny krok ewolucji botnetów, ograniczający skuteczność klasycznych działań obronnych polegających na likwidacji infrastruktury. Atakujący nie muszą już płacić za serwery, domeny czy hosting – jedynym kosztem jest opłata transakcyjna w sieci blockchain (np. niewielka ilość tokenów MATIC w przypadku Polygon).
Dla zespołów SOC ważne jest zatem, aby:
- monitorować niecodzienne interakcje z publicznymi sieciami blockchain, które nie są typowe dla środowiska organizacji,
- analizować ruch generowany przez podejrzane procesy próbujące łączyć się z publicznymi punktami RPC,
- stosować ścisłe reguły egress i filtrowanie połączeń wychodzących w celu ograniczenia przypadkowych zapytań do blockchainów.
Takie techniki mogą pomóc w identyfikacji botnetów wykorzystujących nietypowe kanały C2, zanim staną się one szeroko rozpowszechnione.
Słowo na koniec
Przykład Aeternum pokazuje, iż cyberprzestępcy stosują coraz bardziej innowacyjne sposoby ukrywania komunikacji i odporności na blokowanie. To nie tylko kwestia wykorzystania nowych technologii, ale także przesunięcia technik ofensywnych w stronę platform, które:
- mają wysoką dostępność,
- są trudne do usunięcia,
- a ich koszt operacyjny jest minimalny.
To ostrzeżenie, iż przyszłe kampanie malware mogą korzystać z podobnych metod – używając publicznych i rozproszonych systemów do ukrywania komponentów C2, zamiast stosować klasyczne scentralizowane serwery czy domeny kontrolowane przez przestępców. Botnet Aeternum C2 reprezentuje nową generację zagrożeń, wykorzystującą publiczne łańcuchy bloków do przechowywania i dystrybucji zaszyfrowanych poleceń, co znacząco utrudnia jego likwidację. Zastosowanie tego mechanizmu oznacza, iż infrastruktura dowodzenia jest permanentna, odporna na tzw. sinkholing i trudna do usunięcia dzięki klasycznych technik operacyjnych.
Dla organizacji priorytetem powinno być zrozumienie, jak nowoczesne botnety mogą obejść tradycyjne mechanizmy detekcji i reagowania, oraz wdrożenie narzędzi i reguł, które pozwalają wychwycić nietypową aktywność, związaną na przykład z zapytaniami do publicznych blockchainów.