一、简介

网络犯罪分子一直都被加密货币所吸引，因为它拥有一定程度的匿名性，并且可以很容易货币化。这种兴趣近年来有所增加，远远超出了简单地使用加密货币作为非法工具和服务支付方式。许多攻击者还试图通过针对他们的各种操作（如恶意加密货币挖掘，加密货币钱包凭证的收集，勒索活动以及加密货币交易）来积累加密货币及促使其价格不断上涨。

伴随着窃取加密货币的不断增加，分布式账本技术（DLT）（支撑加密货币的技术）也为网络犯罪分子提供了一种托管恶意内容的独特方式。本文涵盖了使用区块链域名作为恶意基础设施的网络犯罪发展趋势。

二、使用区块链基础设施

传统上，网络犯罪分子已经使用各种方法来混淆他们用来托管payload、存储被盗数据和用作命令和控制（C2）服务器的恶意基础设施。传统方法包括使用bulletproof、fast-flux、Tor基础架构或域生成算法（DGAs）来帮助混淆恶意基础架构。虽然我们预计网络犯罪分子将在可预见的未来继续使用这些技术，但另一个趋势是：区块链基础设施的使用。

三、地下社区关注区块链

FireEye iSIGHT Intelligence已经确定在地下社区eCrime攻击者对加密货币基础设施相关主题的兴趣至少可以追溯到2009年。虽然对特定关键字的搜索无法提供上下文，但从2015年开始，特定词（如区块链，Namecoin和.bit）的频率显示围绕这些主题的对话频率急剧增加（图1）。

图1: 地下社区提及的关键词

四、Namecoin域名及使用情况

(一)Namecoin域名

Namecoin是一种基于比特币代码的加密货币，通过顶级域名（TLD）.bit注册和管理域名。每个注册Namecoin域名的人都是他们自己的域名注册商;但是，域名注册与个人的姓名或地址无关。相反，域名所有权基于每个用户的唯一加密Hash。这基本上创建了与比特币Internet基础设施相同的匿名系统，用户只能通过加密身份来识别。图2说明了Namecoin域名生成过程。

图 2: Namecoin域名生成过程

由于Namecoin是去中心化的，没有中央机构管理网络，因此使用Namecoin注册的域名不会被劫持或关闭。这些因素加上匿名性，使得Namecoin越来越吸引网络犯罪分子，因为他们需要为恶意行为提供基础设施。

（二)调查Namecoin域名

在Namecoin注册的域名使用TLD .bit，不受标准DNS提供商管理。因此，除非进行其他配置，否则客户端将无法建立与这些区块链域的连接。根据Namecoin wiki，可以采取图3所示的步骤之一来浏览.bit域名。

图3：Namecoin wiki上概述的浏览Namecoin域名的选项

由于将整个区块链下载到感染主机上需要大量空间和带宽，并且通过未知第三方将其恶意流量路由可能会导致解析器阻止其流量，因此这些选项对于网络犯罪分子并不理想。所以，许多人已经配置了自己的恶意软件来查询私下管理的与Namecoin兼容的OpenNIC DNS（图4），或者查询通过地下基础设施产品购买的其他兼容服务器。Bulletproof托管服务提供商（如Group 4）通过增加支持允许恶意攻击者查询兼容服务器，从而满足对.bit域名的更高需求。

图4：OpenNIC网站上公布了区块链支持

(三)地下广告

研究人员在过去几年中观察到以下有关使用.bit域的地下广告。这些帖子的范围从攻击者提供.bit兼容模块或流行的银行木马配置更新一直到.bit基础设施产品。

广告#1

图5展示了一个广告，在2015年末看到，由攻击者wachdog在流行的俄语市场上发布。这位攻击者宣传了一个与Windows和Android操作系统兼容的小公用程序（大小为10 KB），并能与.bit域进行通信。

图5：攻击者wachdog在2015年下半年宣传可连接到.bit域名的实用程序

广告#2

2017年底，攻击者Discomrade在俄罗斯著名地下论坛上发布了一种新的名为Coala的HTTP分布式拒绝服务（DDoS）恶意软件（图6）。根据广告，Coala专注于L7（HTTP）攻击，可以攻克Cloudflare，OVH和BlazingFast DDoS保护。最初的文章称该攻击者正在为.bit域添加支持，后来更新的论坛帖子申明Coala能够支持.bit域通信。

图6：Discomrade宣传Coala DDoS恶意软件的支持.bit域

广告#3

AZORult恶意软件于2016年年中发现，由攻击者CrydBrox在地下市场提供。2017年初，CrydBrox提供了包含.bit支持的更新版本（图7）。

图7：CrydBrox宣传支持.bit域的AZORult

(四)使用分析

伴随恶意攻击者对使用.bit域的兴趣日益增加，越来越多的恶意软件系列正在配置使用它们。我们观察到使用Namecoin域作为其C2基础架构的一部分的恶意软件家族包括：

· Necurs

· AZORult

· Neutrino (aka Kasidet, MWZLesson)

· Corebot

· SNATCH

· Coala DDoS

· CHESSYLITE

· Emotet

· Terdot

· Gandcrab Ransomware

· SmokeLoader (aka Dofoil)

根据我们对配置使用.bit的示例的分析，恶意软件家族常用以下方法连接到这些域：

· 查询硬编码的OpenNIC IP地址

· 查询硬编码的DNS服务器

AZORult

AZORult样本（MD5：3a3f739fceeedc38544f2c4b699674c5）被配置为支持使用.bit通信，尽管在分析过程中它没有连接到Namecoin域。该示例首先检查命令和控制（C2）域是否包含字符串.bit，如果是，恶意软件将查询以下硬编码的OpenNIC IP地址以尝试解析域名（图8和图9）：

· 89.18.27.34

· 87.98.175.85

· 185.121.177.53

· 193.183.98.154

· 185.121.177.177

· 5.9.49.12

· 62.113.203.99

· 130.255.73.90

· 5.135.183.146

· 188.165.200.156

图8：硬编码的OpenNIC IP地址 ——AZORult

图9：用于解析C＆C域名的AZORult代码

CHESSYLITE

分析的CHESSYLITE样本（MD5：ECEA3030CCE05B23301B3F2DE2680ABD）包含下列硬编码的.bit域名：

· Leomoon[.]bit

· lookstat[.]bit

· sysmonitor[.]bit

· volstat[.]bit

· xoonday[.]bit

恶意软件通过查询下列硬编码的OpenNIC IP地址列表尝试解析这些域名：

· 69.164.196.21

· 107.150.40.234

· 89.18.27.34

· 193.183.98.154

· 185.97.7.7

· 162.211.64.20

· 217.12.210.54

· 51.255.167.0

· 91.121.155.13

· 87.98.175.85

一旦.bit域名被解析，恶意软件将向服务器发出编码的信标（图10）。

图10：连接到xoonday.bit并发出信标的CHESSYLITE示例

Neutrino (aka Kasidet, MWZLesson)

分析的Neutrino样本（MD5：C102389F7A4121B09C9ACDB0155B8F70）包含下列硬编码的Namecoin C2域名：

· brownsloboz[.]bit

该示例没有使用硬编码的OpenNIC IP地址来解析其C2域名，而是使用DnsQuery_A API调用下列DNS服务器：

· 8.8.8.8

· sourpuss.[]net

· ns1.opennameserver[.]org

· freya.stelas[.]de

· ns.dotbit[.]me

· ns1.moderntld[.]com

· ns1.rodgerbruce[.]com

· ns14.ns.ph2network[.]org

· newton.bambusoft[.]mx

· secondary.server.edv-froehlich[.]de

· philipostendorf[.]de

· a.dnspod[.]com

· b.dnspod[.]com

· c.dnspod[.]com

恶意软件按照上述顺序遍历列表。因此，如果对8.8.8.8的DnsQuery_A调用失败，恶意软件将尝试使用sourpuss [.] net等（图11）。通过网络仿真技术，我们模拟了一个已解析的连接，以便用.bit域名来观察样本的行为。

图11：修改8.8.8.8为8.8.8.5强制查询失败

Monero Miner

分析的Monero挖矿程序（MD5：FA1937B188CBB7fD371984010564DB6E）揭示了使用.bit作为初始信标通信。该程序使用DnsQuery_A API调用并连接到OpenNIC IP地址185.121.177.177以解析域名flashupd [.]bit（图12和图13）。

图12：解析.bit域名的代码片段

图13：对OpenNIC IP 185.121.177.177的DNS请求

Terdot (aka ZLoader, DELoader)

分析的Terdot示例（MD5：347c574f7d07998e321f3d35a533bd99）包含与.bit域名进行通信的能力，似乎是下载其他payload。它通过查询下列OpenNIC和公共DNS IP地址列表尝试解析：

· 185.121.177.53

· 185.121.177.177

· 45.63.25.55

· 111.67.16.202

· 142.4.204.111

· 142.4.205.47

· 31.3.135.232

· 62.113.203.55

· 37.228.151.133

· 144.76.133.38

该示例在尝试访问域名cyber7 [.]bit时通过硬编码的IP进行迭代（图14）。如果域名解析成功，它将连接到https:// cyber7 [.] bit / blog / ajax.php下载RC4加密的数据，其中包含PE文件。

图14：cyber7.bit域名的DNS请求

Gandcrab勒索软件

分析的Gandcrab勒索软件样本（MD5：9abe40bc867d1094c7c0551ab0a28210）也显示使用.bit域。与前面提到的家族不同，它通过匿名管道衍生出新的nslookup进程来解析以下区块链域：

· Bleepingcomputer[.]bit

· Nomoreransom[.]bit

· esetnod32[.]bit

· emsisoft[.]bit

· gandcrab[.]bit

衍生的nslookup进程包含以下命令（如图15所示）：

· nslookup <domain>  a.dnspod.com

图15：GandCrab nslookup进程创建和命令

五、常见的OpenNIC IP

在分析这些恶意软件样本时，FireEye研究人员发现了一个私人管理的OpenNIC DNS服务器，通常用于多个家族（表1）。这可能是支持.bit通信的共享基础架构服务。

表1：各种恶意软件家族中使用的硬编码DNS IP地址

IP 185.121.177.177的域名注册详细信息如下所示（表2和图16）：

表2: IP注册详细信息

图16：IP 185.121.177.177的注册详细信息（DomainTools）

六、Emercoin域名及使用情况

FireEye iSIGHT Intelligence研究人员已经确定了网络犯罪分子所使用的其他区块链域名，包括Emercoin域名.bazar和.coin。与Namecoin TLD类似，所有记录都是去中心化的，不可分发的，不能被更改，撤销或暂停。

(一)调查Emercoin域名

Emercoin还与OpenNIC保持对等协议，这意味着向Emercoin的EMCDNS服务注册的域名可供OpenNIC DNS服务器的所有用户访问。表3显示了EMCDNS支持的根域。

表3: Emercoin支持的DNS根域(Emercoin Wiki)

用户还可以选择安装兼容的浏览器插件，这些浏览器插件将导航到Emercoin域名，或者通过emercharge [.] net（由Emercoin开发人员维护的网关）路由他们的流量。

(二)使用情况

FireEye iSIGHT Intelligence观察到eCrime攻击者将Emercoin域名用于恶意基础设施，尽管程度较低。这些例子包括：

· Joker's Stash的运营商，一家多产和知名的银行卡数据商店，经常更改网站的网址。最近，他们选择使用区块链域名（jstash [.] bazar）取代了Tor，表面上看是为了提高运营安全性。

· 同样，以下银行卡商店也转移到了.bazar域名：

buybest[.]bazar

FRESHSTUFF[.]bazar

swipe[.]bazar

goodshop[.]bazar

easydeals[.]bazar

· 除了硬编码的Namecoin域名之外，前面的Neutrino样本还包含几个硬编码的Emercoin域名：

http://brownsloboz[.]bazar

http://brownsloboz[.]lib

http://brownsloboz[.]emc

· FireEye iSIGHT Intelligence确定了一款Gandcrab勒索软件样本（MD5：a0259e95e9b3fd7f787134ab2f31ad3c），该样本利用Emercoin TLD .coin进行C2通信（图17和图18）。

图17: nomoreransom[.]coin的DNS请求

图18: 到nomoreransom[.]coin的Gandcrab POST请求 

七、展望

虽然传统的基础设施混淆方法（如Tor，bulletproof 和fast-flux）在可预见的未来很可能会继续存在，但我们预估区块链恶意基础架构的使用将继续在全球网络犯罪分子中普及和使用。伴随着预期的需求增长，地下社区内支持区块链领域的恶意基础架构可能会越来越多。

由于区块链的分散性和复制性，执法部门为阻止恶意域名可能会要求关闭整个区块链——这种做法对这些区块链上运行的很多合法服务是不可行的。如果执法机构能够识别管理特定恶意区块链域的个人，则可能会消除发生这些攻击的可能性;然而，发生这种情况的可能性严重依赖于eCrime攻击者维护的运营安全级别。此外，随着网络犯罪分子继续开发基础设施混淆和保护方法，阻止区块链域名将会非常困难。