DeadLock 勒索軟件利用被入侵的 Polygon 智能合約隱藏行蹤
最近,網絡安全公司 Group-IB 發現一款名為「DeadLock」的勒索軟件,透過濫用 Polygon 智能合約來輪換及分散代理地址,從而逃避打擊和追蹤。
Group-IB 於星期四報告指出,DeadLock 勒索軟件首次於七月被發現,雖然目前曝光率不高,亦未與任何已知的數據洩露網站或聯盟計劃有關,且受害者報告數量有限,但它採用的創新手法卻令人警惕。Group-IB 警告,儘管這款勒索軟件「低調」,但其利用區塊鏈的方式非常新穎,對於不重視此類惡意軟件的機構來說,風險不容忽視,尤其是這類利用特定區塊鏈進行惡意行為的案例尚未被廣泛報導。
DeadLock 利用 Polygon 的智能合約來存儲及輪換用於與受害者通訊的代理伺服器地址。勒索軟件內嵌的程式碼會與特定智能合約地址互動,並透過智能合約的功能動態更新指揮控制(C2)基礎設施。
當受害者被感染並加密文件後,DeadLock 會發出勒索信,威脅若不支付贖金,便會出售竊取的數據。
無限變種的攻擊手法
Group-IB 指出,透過將代理地址存放在區塊鏈上,DeadLock 建立了一套極難被破壞的基礎設施,因為沒有中心伺服器可供關閉,且區塊鏈資料會在全球分散節點永久保存。
Group-IB 表示:「利用智能合約來傳遞代理地址是一種非常有趣的手法,攻擊者可以無限變換這種技術,唯一的限制就是想像力。」
(圖示:Group-IB 展示一個嵌入了 Session 私人通訊軟件的 HTML 文件,用來聯絡威脅者)
北韓黑客利用「EtherHiding」技術
利用智能合約散播惡意軟件並非新鮮事。Group-IB 提及 Google 於去年十月報告的一種名為「EtherHiding」的技術。
據悉,北韓黑客組織「UNC5342」曾使用這種技術,透過公開區塊鏈上的交易來存儲及調用惡意程式碼。
Google 當時解釋,EtherHiding 是將惡意代碼(通常是 JavaScript 負載)嵌入公開區塊鏈的智能合約中,將區塊鏈變成一個去中心化且高度抗毀的指揮控制(C2)伺服器。
—
評論與啟示
DeadLock 勒索軟件利用區塊鏈智能合約作為其指揮控制基礎設施,這種手法顯示出區塊鏈技術的雙刃劍特性:一方面,區塊鏈的去中心化和不可篡改特性帶來了安全和透明度;但另一方面,這些特性也被不法分子利用,打造難以追蹤和打擊的惡意基礎設施。
對香港及全球企業來說,這種新興的攻擊手法提醒了我們,傳統的網絡安全防護已不足夠,必須加強對區塊鏈相關技術的監控與理解。尤其是那些使用或依賴區塊鏈技術的企業,更應密切關注智能合約的安全漏洞及其可能被惡意利用的風險。
此外,DeadLock 及 EtherHiding 的案例也揭示了網絡犯罪的持續演化,攻擊者不斷創新,利用最新技術來規避法律和技術的制裁。這要求安全專業人士和監管機構必須保持高度警覺,並加強跨領域合作,從技術、法律和政策多方面入手,才能有效應對這類新型威脅。
總括而言,這不僅是一次技術層面的挑戰,更是對全球網絡安全生態系統的一次考驗。香港作為國際金融和科技樞紐,更應積極推動區塊鏈安全研究和防護措施,確保本地企業及用戶的資產安全不受侵害。
以上文章由GPT 所翻譯及撰寫。圖片由Gemini 根據內容自動生成。
