暴利营生的背后:揭秘Phorpiex僵尸网络的赚钱体系

来源:岁月联盟 编辑:猪蛋儿 时间:2020-01-29
利用这些信息我们找到了名为“ FOP HORBAN VITALII Anatoliyovich”个体企业家的注册数据。他的主要业务是食品零售:
 

图6 –这家公司目录的截图。
因此,我们认为“FOP HORBAN VITALII Anatoliyovich”只是一个幌子。
如果我们搜索Phorpiex C&C服务器使用的另一个IP地址(185.176.27.132)的数据,会出现相同的情况:
组织名称:IP Dunaev Yuriy Vyacheslavovich
机构类型:OTHER
地址:420132, Kazan, Chuikova str, 69
电子邮件:dunaevyur@gmail.com
Dunaev Yuriy Vyacheslavovich也是来自俄罗斯(鞑靼斯坦共和国)的个体企业家,主要从事运输服务。与前一个案例一样,业务与互联网或IT没有任何关系。
到该网络的数据包经过了物理上位于保加利亚的Telehouse ISP路由:
9 50 ms 49 ms 49 ms as50360.peer.telehouse.bg [178.132.83.102]
10 46 ms 46 ms 46 ms 192.168.244.2
11 51 ms 50 ms 50 ms 185.176.27.9
12 50 ms 46 ms 50 ms 185.176.27.132
这也许是Phorpiex运营者和另一个网络犯罪组织之间的合作,该组织从RIPE获得IP子网,并提供托管恶意C&C基础结构的服务。
加密劫持
加密劫持是指未经授权使用他人的计算机来挖掘加密货币。Phorpiex装载到计算机的其中一个payload就是XMRig矿机,它使用Phorpiex C&C服务器作为矿池:
 

表1 – Phorpiex C&C服务器和XMRig矿池。
此外,我们找到了Phorpiex XMRig样本的XMR地址,它与性勒索活动中使用的地址相同。钱包以集成格式存储,这意味着地址里还包含了付款ID。付款ID通常用于识别与商家和交易所的交易。Phorpiex XMRig样本中提取的、用于性勒索活动中的XMR地址只有付款ID不同:
 

表2 -在XMRig样本和性勒索活动中发现的Phorpiex Monero钱包。
由于Monero区块链的隐私设置,它不允许我们跟踪交易和查看个人的余额,不过我们还是可以使用僵尸网络容量评估、Monero采矿盈利能力计算,以及其他Monero基准的结果来估计密码劫持活动的盈利能力。假设Phorpiex的平均受害者没有顶级硬件,我们计算的基础是100 H/s的低哈希率,相当于INTEL I5-6500T CPU,在任何时候平均都有15000个机器人在线,因此,Phorpiex僵尸网络提供的Monero挖掘的总哈希率为1.5 MH/s。当然,Phorpiex运营人员还不用像其他人一样支付电费和矿池费,所以我们假设这些值为0:
 

图7 –Monero采矿的获利能力计算。
因此,根据我们的评估,Porpiex僵尸网络每年至少产生3122 XMR,目前相当于约21个比特币(BTC)或180000美元。
加密货币剪切
2016年8月,我们首次在Trik配置中观察到加密货币剪切功能的添加,一开始Trik只窃取比特币,但在Tldr中添加了对其他虚拟货币的支持,包括以太币、Litecoin甚至Perfectmoney。
与Monero不同,比特币和以太坊区块链允许我们监控所有交易。因此我们收集了大量的Trik和Tldr样本,并从中提取了比特币钱包。
从Trik配置中提取的比特币钱包在376笔交易中总共收到了超过11个BTC:
 

表3 – Phorpiex Trik用于加密货币剪切的BTC钱包
从上表中我们可以看到,尽管Trik机器人没有收到更新,C&C服务器也离线了,但一些钱包仍然在持续获得比特币。
下表为从Tldr配置中提取的比特币钱包:
 

表4 – Phorpiex Tldr用于加密货币剪切的BTC钱包
因此,在3年的时间里,加密货币剪切使得运营人员在875笔交易中窃取了17个比特币,即每年约5.6个比特币。
提取自Trik和Tldr样本的以太坊加密货币钱包的收益远低于比特币钱包:
 

表5 – Phorpiex 加密货币剪切的ETH钱包
目前仅有51笔交易,共计约17 ETH,其现值远低于比特币。然而,我们对这些钱包感兴趣还有另一个原因:诸如etherescan.io之类的服务可以显示以太坊地址是否属于特定的交易所或服务,而对于表中的地址,所有ETH都将传输到Cryptonator服务的地址:
 

图8 -来自Phorpiex ETH地址的以太坊交易。
因此我们可以得出结论,在加密剪切行动中使用的以太坊地址是在一个Cryptonator钱包中创建的。Cryptonator需要一个有效的电子邮件地址,以便通过电子邮件为每个新IP地址和设备进行注册和确认。我们认为,Cryptonator服务的访问日志可能会存储Phorpiex运营者的真实IP地址。
另一个值得注意的地方是,一些以太坊钱包收集了大量的ERC-20代币:

上一页  [1] [2] [3]  下一页