三招教你摧毁智能合约僵尸网络


发布时间:

2019-02-22

黑白对抗:网络防御者面临的挑战

“僵尸牧人”的活动实际上是一种命令与控制(C&C)活动。他们与身陷囹圄仍要统领行动的黑手党老板面临着相同的挑战:两者都试图指导犯罪活动,但希望指令能顺利下达到预期目标而不被拦截、修改或阻止。

 

为了缓解这些威胁,“僵尸牧人”开始使用区块链智能合约来建立更具弹性的通信渠道。今天,绿盟君教你三招摧毁智能合约僵尸网络。

 

黑白对抗:网络防御者面临的挑战

由于“僵尸牧人”和研究人员或网络防御者之间激烈的“军备竞赛”,摧毁僵尸网络变得越来越难。在过去,摧毁僵尸网络,执法人员让互联网服务提供商(ISP)把承载僵尸网络基础设施的服务器下线就可以了。然而,通过C&C服务器、fast-flux DNS、域生成算法、端对端通信、SSL、隐写术、匿名网络以及在社交媒体平台上隐藏C&C消息的功能,僵尸网络增强了弹性。

 

当僵尸网络使用区块链来发布指令时,网络防御者面临着这样的挑战:

1.私有区块链控制了对区块链及其合约功能的访问。

2.区块链连接程度高,分布范围广,而且使用了私钥,具有抗修改特性。

 

三招,教你摧毁智能合约僵尸网络

 

1

枚举和拆分僵尸网络

经典的方法是监视C&C服务器的网络流量并记录连接到该服务器的唯一IP地址,发现指令。然而,如果僵尸网络被分割或者C&C服务器时常变化,这种技术就很难生效。使用区块链的内置功能来枚举节点,或者监控单个成员的以太坊网络流量,并不停变换目标以识别其他节点,确定新的目标后,查看其以太坊网络流量,识别僵尸机。无论采用哪种方法枚举僵尸网络成员,僵尸网络都会土崩瓦解。

 

2

跟踪网络上的“僵尸牧人”

这个漏洞的核心是:通过监控网络流量可以识别“僵尸牧人”吗?这种监控可在网络上的不同点(例如私有区块链、C&C服务器或端点)进行。监控的意义在于发现“僵尸牧人”的真实IP地址和位置。在创建私有区块链和智能合约以及更新合约变量时,细心的“僵尸牧人”会记住这一点的。为了避免透露IP地址和地理位置,“僵尸牧人”可能会使用匿名代理和服务,例如Tor。

 

3

端点检测

与检测端点上运行的恶意软件一样,查看文件、进程和网络套接字的这一传统方法可有效检测基于私有区块链的僵尸网络客户端组件。网络防御者可创建用以匹配指标的特征或检测异常以太坊客户端,发现计算机上的僵尸网络活动。此等检测常通过杀毒程序等软件或监控端点的网络活动来实现。