Aeternum C2: Mối Đe Dọa Botnet Blockchain Nguy Hiểm Mới

Trong nhiều năm, việc vô hiệu hóa một botnet thường liên quan đến việc xác định máy chủ điều khiển và kiểm soát (C2), tịch thu tên miền và khiến mạng botnet ngừng hoạt động. Các cơ quan thực thi pháp luật đã áp dụng phương pháp này để triệt phá các hoạt động quy mô lớn như Emotet, TrickBot và QakBot. Tuy nhiên, một **mối đe dọa mạng** mới nổi đang thách thức mô hình phòng thủ truyền thống này.

Một công cụ tải botnet mới được phát hiện, có tên là Aeternum C2, đã được thiết kế đặc biệt để khắc phục hạn chế này. Thay vì lưu trữ tất cả các lệnh của nó trên máy chủ hoặc tên miền tập trung, Aeternum C2 lưu trữ chúng trực tiếp trên blockchain Polygon, tạo ra một cơ chế C2 phi tập trung và bền vững.

Aeternum C2: Cơ Chế Điều Khiển & Kiểm Soát Bằng Blockchain

Cơ Sở Hạ Tầng Phi Tập Trung Trên Polygon Blockchain

Các lệnh của Aeternum C2 được nhúng trong các smart contract (hợp đồng thông minh) trên mạng Polygon. Đây là một blockchain công khai được sao chép và duy trì bởi hàng ngàn node trên toàn thế giới. Với kiến trúc này, không có máy chủ đơn lẻ nào để tịch thu hay tên miền nào để đình chỉ.

Cơ sở hạ tầng của Aeternum C2 vẫn luôn khả dụng, bất kể quyết định của bất kỳ cơ quan chức năng hay nền tảng nào. Điều này đặt ra thách thức lớn đối với các nhà bảo vệ an ninh mạng, những người đã quen với chiến lược vô hiệu hóa botnet thông qua việc kiểm soát cơ sở hạ tầng.

Cách Thức Vận Hành & Giao Tiếp

Các nhà phân tích của Qrator Labs đã nhận dạng công cụ tải này khi theo dõi các mạng tội phạm mạng. Báo cáo của họ, có sẵn tại Qrator.net, chỉ ra rằng Aeternum C2 được viết bằng C++ gốc và có sẵn cả phiên bản 32-bit và 64-bit.

Các nhà nghiên cứu phát hiện ra rằng mọi lệnh được gửi đến các máy bị nhiễm đều được ghi lại dưới dạng một giao dịch trên blockchain Polygon. Các bot đọc các lệnh này thông qua các điểm cuối Remote Procedure Call (RPC) công khai. Theo tài liệu của nhà cung cấp, tất cả các bot hoạt động nhận được bản cập nhật trong vòng hai đến ba phút, nhanh hơn và nhất quán hơn so với các botnet peer-to-peer truyền thống.

Nhà điều hành quản lý mọi thứ thông qua một bảng điều khiển dựa trên web. Từ giao diện này, kẻ tấn công chọn một smart contract, chọn loại lệnh (nhắm mục tiêu tất cả các bot, ping một máy cụ thể bằng ID phần cứng (HWID) hoặc đẩy DLL loader), sau đó cung cấp URL payload và xuất bản bản cập nhật lên blockchain.

Sau khi được xác nhận trên chuỗi, một lệnh không thể bị thay đổi hoặc xóa bởi bất kỳ ai ngoại trừ chủ sở hữu ví. Nhà điều hành có thể chạy nhiều hợp đồng cùng một lúc, mỗi hợp đồng được gắn với một chức năng khác nhau như clipper, stealer, Remote Access Tool (RAT) hoặc miner.

Ưu Điểm Vượt Trội Cho Kẻ Tấn Công

Chi Phí Vận Hành Thấp và Tính Bền Vững

Aeternum C2 được rao bán trên các diễn đàn ngầm dưới dạng giấy phép trọn đời với một bản dựng cấu hình sẵn hoặc mã nguồn C++ đầy đủ kèm theo các bản cập nhật liên tục. Chi phí vận hành là không đáng kể, chỉ 1 USD giá trị MATIC (token gốc của Polygon) có thể bao gồm từ 100 đến 150 giao dịch lệnh.

Với việc không cần thuê máy chủ hay đăng ký tên miền, chi phí vận hành để duy trì một botnet blockchain có khả năng phục hồi cao gần như bằng không. Điều này khiến nó trở nên dễ tiếp cận hơn với nhiều tác nhân đe dọa hơn.

Khả Năng Tái Triển Khai Không Gián Đoạn

Ngay cả khi toàn bộ các máy bị nhiễm được làm sạch, các smart contract của nhà điều hành vẫn còn nguyên vẹn. Điều này có nghĩa là việc tái triển khai đầy đủ có thể thực hiện bất cứ lúc nào mà không cần xây dựng lại cơ sở hạ tầng. Khả năng phục hồi này là một lợi thế đáng kể cho kẻ tấn công.

Tác Động và Các Kiểu Tấn Công Tiềm Năng

Thiệt hại tiềm tàng từ các botnet được xây dựng theo mô hình này vượt xa các chiến dịch cá nhân. Một khi được triển khai, chúng có thể phát triển không bị gián đoạn và được sử dụng cho các cuộc tấn công DDoS quy mô lớn, nhồi nhét thông tin đăng nhập (credential stuffing), gian lận nhấp chuột (click fraud), lạm dụng proxy-as-a-service và đánh cắp dữ liệu.

Chức Năng Chống Phân Tích

Aeternum C2 cũng bao gồm tính năng phát hiện chống máy ảo (anti-VM), ngăn chặn thực thi trong các môi trường ảo hóa thường được sử dụng bởi các nhà cung cấp phần mềm diệt virus và nhà phân tích mã độc. Công cụ này còn đi kèm với một trình quét scantime được hỗ trợ bởi Kleenscan API.

Kết quả quét cho thấy chỉ 12 trên 37 công cụ đã gắn cờ mẫu này là độc hại, trong khi CrowdStrike, Avast, Avira và ClamAV đều trả về kết quả sạch tại thời điểm thử nghiệm. Điều này cho thấy khả năng né tránh các giải pháp bảo mật truyền thống.

Chiến Lược Phòng Thủ Mới Cho An Ninh Mạng

Thách Thức Đối Với Phòng Thủ Truyền Thống

Các phương pháp tịch thu tên miền và vô hiệu hóa máy chủ truyền thống sẽ không thể ngăn chặn kênh C2 dựa trên blockchain của Aeternum C2. Các đội ngũ an ninh cần tập trung vào các phương pháp phát hiện và ứng phó mới.

Các Biện Pháp Giảm Thiểu và Phát Hiện Xâm Nhập

• Phát hiện điểm cuối (Endpoint Detection): Tập trung vào việc phát hiện các hành vi bất thường và các tệp thực thi đáng ngờ sớm trên các điểm cuối.
• Giám sát hành vi (Behavioral Monitoring): Theo dõi các hoạt động hệ thống và mạng để nhận diện các mẫu hành vi liên quan đến botnet hoặc hoạt động độc hại.
• Kiểm soát ứng dụng nghiêm ngặt (Strict Application Controls): Áp dụng các chính sách kiểm soát ứng dụng chặt chẽ để hạn chế việc thực thi các tệp không được phép.
• Giám sát lưu lượng mạng: Các nhà bảo vệ mạng cần đánh giá liệu các kết nối đi ra đến các điểm cuối RPC của Polygon có thể được giám sát hoặc hạn chế mà không làm gián đoạn các hoạt động hợp pháp hay không.

Vì các biện pháp gỡ bỏ ở cấp độ cơ sở hạ tầng không còn đáng tin cậy đối với mô hình này, việc lọc lưu lượng chủ động tại biên mạng vẫn là tuyến phòng thủ đáng tin cậy nhất để chống lại các cuộc tấn công của Aeternum C2 và các botnet blockchain tương tự. Điều này đòi hỏi các giải pháp an ninh mạng tiên tiến và khả năng thích ứng cao.