前言

近期，來自Cybaze公司ZLab惡意軟體實驗室的安全專家Antonio Pirozzi和Pierluigi Paganini介紹了一款名叫BOTCHAIN的僵屍網路，而它是世界上第一款基於比特幣協議構建的全功能僵屍網路。

區塊鏈技術能夠以可靠的方式驗證通訊雙方之間的事務，且不需要第三方的介入。這樣的一種特性使得區塊鏈能夠適用於各種不同的場景，比如說醫療保健、供應鏈跟蹤、智慧合約和身份管理等等，但需要注意的是，網路犯罪分子同樣可以將其用於惡意攻擊活動中。

區塊鏈已成為“犯罪利器“？

Pirozzi解釋稱，網路犯罪分子現在已經開始利用區塊鏈來實施網路攻擊了。比如說，2017年上線的The Automated Vending Cart (AVC)網站就使用了基於區塊鏈的DNS系統系統 以及Tor(.onion)域名來隱藏他們的惡意活動，而類似.bit、.bazar和.coin這樣的基於區塊鏈的頂級域名(TLD)又給網路犯罪分子隱藏線上(暗網)市場提供了新的方向。

Pirozzi還引用了德國RWTH Aachen大學近期的一項研究結果，即區塊鏈能夠用來永久性地儲存任何資料，其中包括非法資料在內，例如兒童色情內容以及恐怖主義宣傳。專家對近期的比特幣交易進行了分析，並發現至少有274條記錄連結到了虐待兒童內容以及暗網Web服務上。

除此之外研究人員還表示，網路犯罪分子甚至還可以利用比特幣交易中的“OP_RETURN”欄位來控制惡意軟體和僵屍網路。實際上早在2016年的亞洲黑帽黑客大會上，來自國際刑警組織的Christian Karam就已經介紹了這種技術了。研究人員提到：“我們的研究表明，網路犯罪分子有可能利用區塊鏈技術來為惡意軟體提供命令控制機制。BOTCHAIN就是第一個基於比特幣協議實現的具有完整功能的僵屍網路，而且很多網路犯罪組織（包括APT組織）目前都已經具備了開發這種僵屍網路的技術。在此之前，也有其他的研究人員探索過將區塊鏈技術應用到僵屍網路基礎設施的可能性，比如說ZombieCoin和Botract等等，只不過它們都是基於以太坊實現的。”

BOTCHAIN

BOTCHAIN是第一個基於比特幣協議實現的全功能僵屍網路，它跟其他僵屍網路的區別就在於，BOTCHAIN具有高可用性特徵，因為其中的bot沒有硬編碼C2地址，攻擊者可以將虛擬貨幣錢包作為C2，而不像Zombiecoin那樣使用了隱藏服務來動態隱藏C2地址。

這些年來，網路犯罪分子採用了各種不同的技術來構建更具彈性和隱蔽性拓撲結構的僵屍網路，從簡單的IRC或HTTP到TCP或P2P網路等等，有的甚至會利用線上雲服務。一旦安全產品檢測到了這種可疑的網路拓撲，它們就很容易被執法部門或安全公司取締。

成本昂貴

不過採用基於區塊鏈的僵屍網路成本也會更高，因為攻擊者必須支付交易費用，因此通過比特幣協議來使用C2是“非常昂貴“的，但是僵屍網路的運營者為了隱藏自己的犯罪痕跡，他們肯定是無所不用其極了。Pirozzi還表示，如果攻擊者支付的交易費用較低，那麼這筆交易可能永遠不會被確認。

解決方案

有些專家認為，採用礦工黑名單機制也許可以有效避免對包含惡意內容的區塊進行驗證，但是公開性方面的問題以及內容混淆機制仍然會給安全防護帶來困難。

除此之外，許多專家也相信，量子計算機將允許我們修改區塊鏈事務中每一條交易記錄的資料，而且可能要引入量子密碼才能完全阻止惡意操作。

POC

視訊演示地址：