COIN:FBI 如何截获黑客私钥并追回勒索损失？剪贴板劫持值得我们的注意_BeforeCoinMarketCap

安全网站ThreatPost

整理撰稿|白泽研究院

一叶知秋、秋风飒爽，我们度过了一个“有点冷”的加密Summer，在这几个月中，几乎每周都有新的黑客勒索软件的攻击。无论是ColonialPipeline、JBS、马萨诸塞州轮船、Fujifilms还是新闻报道中的其他组织，网络犯罪似乎比以往任何时候都更受关注。

最近的一份的报告显示，网络犯罪使全球损失超过1万亿美元，预计到2025年全球经济将损失10.5万亿美元。

今年关于黑客勒索事件，最出名的还是美国最大的管道运营商?ColonialPipeline向破坏服务器和网站的黑客、其他在暗网上出售数据的网络犯罪团伙支付440万美元，因为黑客的攻击行为导致美国东海岸的燃料价格飙升。

所有这些事件和攻击有一个很强的共性：黑客想要加密货币。

黑客如何获利？

黑客在受害者那里获利的方式有很多种。其中有几种方法很突出：

1.勒索软件

将受害者的计算机系统加密，包括他们的个人数据和文件，会给受害者带来紧迫感和混乱，以此来索取赎金。黑客勒索时，通常都会要求受害者在短时间内付款，并威胁会公开数据。

勒索软件速度快且利润丰厚，其潜在获利从数千美元到数百万美元不等。如果受害者受到勒索软件的攻击，他们的计算机屏幕上会清楚地显示这一点，并且他们知道自己已经受到攻击。这消除了黑客的“隐身”的隐患。

FBI正在调查3Commas数据泄露事件:金色财经报道，本周一匿名人士泄露了与加密货币交易服务有关的10万个API密钥，FBI正在调查3Commas 数据泄露事件。这项调查是在这家总部位于爱沙尼亚的加密货币交易服务的用户数周提出批评之后进行的，他们表示，其首席执行官一再无视该平台泄露用户数据的警告信号。

在过去几个月里，数十名3Commas用户发现，该服务在未经他们同意的情况下，将他们所链接的加密货币交易所的资金交易出去。最初，3Commas表示，这些用户很可能是被钓鱼，并坚持认为该平台是安全的。

一个由大约60名成员的3Commas受害者团体此前曾与美国特勤局和其他执法机构联系，该团体负责人称，其总损失超过2000万美元。(Coindesk)[2022/12/30 22:16:06]

2.出售或滥用被盗数据

如果黑客在攻击的数据库中有访问权限并且可以监听网络通信或敏感信息，他们就可以使用它。黑客们可能会将访问权出售给暗网上的其他黑客，或者使用找到的银行信息、信用卡数据或凭据来盗取账户存款。总而言之，他们可以造成很多伤害。

虽然这种方法比勒索软件更隐蔽，但仍有被锁定的风险。此外，如果黑客们决定出售这些信息，他们有可能找不到买家。最终，这种方法有太多可变的结果，黑客可能会选择不同的策略。

FBI帮助德国当局从盗版流媒体网站查获3000万美元加密货币:在联邦调查局（FBI）的协助下，德国当局表示已经从盗版流媒体网站Movie2K查获价值近3000万美元的加密货币。据悉，该网站依靠盗版视频获利，运营商从2012年开始将现金转换为比特币，仅网站程序员就已经从中赚得22000枚比特币。（Torrentfreak）[2020/8/6]

3.隐蔽的挖矿木马—“黑客的提款机”

在黑客入侵受害者的计算机后，他们可以做任何他们想做的事情。通常，黑客会安装“后门”，确保他们具有持久访问权限并可以长时间保持对计算机的控制。这种持久性访问权限的获得方式采用一个占用空间小、不显眼的“存根”的形式，它可能隐藏在计算机自动运行的代码段中。

虽然，持续控制受害者的计算机本身并不能赚钱，但是，你的计算机已经成为了这些黑客未来的“提款机”。

受到控制的计算机会“被迫”来计算哈希值，以便挖掘比特币、以太坊、门罗币或他们喜欢的任何其他加密货币。这会使得受控制的计算机的CPU、RAM和其他资源被大量消耗，增加受害者的电费。因为它保持隐藏的状态，所以受害者每次打开计算机时，挖矿程序都会自动运行。

在以上三种黑客常见的获利方式中，缓慢的挖掘加密货币将在短期内赚到最少的钱。但如果这种攻击没有引起注意，从长远来看，它可能会带来巨额回报，特别是如果它同时针对多个受害者。这种攻击方式是最隐蔽的，以缓慢、非侵入性的方式进行。与勒索软件不同，如果加密货币挖矿程序正在运行，受害者可能完全不会注意到。

FBI调查黑客攻击推特：黑客并未破坏推特系统，而是买通了一名推特员工:金色财经报道，7月17日，据媒体报道，FBI（美国联邦调查局）开始对近日发生的推特遭黑客攻击事件展开调查。据悉，7月15日，推特遭大规模黑客入侵，多位名人政要和官方账号受影响。包括奥巴马、拜登、马斯克、贝佐斯、巴菲特、苹果官方在内的一大批账号全部遭黑，这也是推特近年来遭遇最大规模的的黑客攻击。被入侵的账号全部都发布了类似的推文：给出一个链接，要求通过比特币捐款，而且给1000，返2000。“我在回馈社区。所有寄往以下地址的比特币将加倍退回！只要30分钟。”此次攻击由一群身份不明的黑客控制推特公司内部工具来劫持相关帐户。黑客获得重置这些帐户绑定电子邮箱地址的权限，然后在其帐户上发布加密货币推文。

在FBI给媒体的声明中称，黑客盗用这些账户的目的是持续化地进行加密货币。FBI表示，此次黑客攻击事件及其暴露出的推特系统漏洞，可能会给用户带来严重的安全风险。此外，有美国媒体报道，黑客并未破坏任何推特系统，而是买通了一名推特员工。推特称正在保持与FBI的沟通，并将完全配合FBI关于该事件的调查。[2020/7/17]

加密货币—黑客完美的“逃生之车”

加密货币是黑客的完美“逃生之车”，这得益于加密货币/区块链本身的自主性、匿名性、永久性和开放性的特点。使用加密货币，不会受到银行和政府的监督；没有银行手续费、账户维护费、最低余额限制或透支费用。

动态 | Algo Capital官方：CTO钱包被盗部分代币流向币安钱包 FBI已介入:10月15日，Algo Capital发布有关CTO钱包被盗细节事宜。博客称，9月26日，前Algo Capital 首席技术官 Pablo Yabo称，他管理的几个钱包已经被盗。这导致了190万至150万美元的失窃，其中有150万美元被装在由Algo Capital赞助的风险投资基金拥有的钱包里，其余的被装在其他Algo Capital的钱包和Yabo的个人钱包里。由于一个错误，黑客能够访问一个临时解密文件从而能够访问恢复种子备份，随后黑客可以访问到这些钱包中的资金。在很短的时间内，黑客可能将被盗的 Algos 转移到数个币安钱包中，显然是在试图清算这些资产。据币安称，所有与该事件有关的账户都已被隔离。Algo Capital也向联邦调查局报告了这一事件，并与当地的亚特兰大联邦调查局合作，后者正在调查这一案件。由于此次事件，Yabo主动选择了从公司辞职并获批。Yabo还同意将很大一部分损失偿还给Fund。此外，公告最后显示，Algo Capital 与 Algorand Inc、Algorand LLC、Algorand Foundation 或其任何子公司均无关联。[2019/10/15]

如果黑客仅接受加密货币支付，那么这个黑客实际上可以一直保持匿名。加密货币的交易不会展示身份信息、电子邮件地址、姓名或任何详细信息。

声音 | FBI：比特币交易在黑市上的使用已经大幅减少:据美国《金融时报》报道，一位更关注加密货币的财经记者透露，她与一位联邦调查局(FBI)特工的对话显示，由于官员现在可以追踪交易，比特币交易在黑市上的使用已经大幅减少。联邦调查局(FBI)告诉记者，以前黑市约占90%的比特币(BTC)交易量，但目前只有10%的加密货币用于黑市交易,剩下的仅仅是假设。[2018/10/29]

对黑客来说，加密货币最吸引人的特点可能是永久性：一旦汇款，就无法取回，区块链上的交易回滚不太可能发生。这意味着对于勒索软件之类的攻击，黑客可以携款逃跑。

了解区块链或加密货币的朋友们此时可能会有一个疑问：加密货币的一个重要注意事项是交易保存并显示在分布式的账本上。任何人都可以在区块链的浏览器上查询资金往来何处，“如果交易是公开的，那么坏人怎么能保持匿名？”

请注意，钱包地址和转账本身不携带个人身份信息。最重要的是，黑客可能经常通过“混合器”发送资金或通过多个钱包转移加密货币来“清洗”加密货币。事实上，有一些去中心化的协议可以为你做到这一点，例如tornado.cash可以“清洗”以太坊。通过多个钱包汇款，减少了与原钱包地址的联系，这可以大大增加隐秘程度。

抛开一些加密货币为区块链带来的丰富创新，仅考虑黑客相关的问题，比特币、以太坊等加密货币仍然是“黑客的货币”。没有监管机构，加密货币市场可以不受监管地继续运行下去，同时还会继续提供给黑客“逃生之车”，因为没有其他技术可以帮助黑客“完美犯罪”。

FBI如何截获私钥并追回勒索损失？

虽然比特币交易是匿名的，但可以通过区块链的记录来跟踪资金，以了解这些交易的实际情况以及它们的去向。下面我们将带大家还原今年夏天发生的针对美国最大的管道运营商?ColonialPipeline的勒索攻击案件。

?ColonialPipeline在今年早些时候遭到勒索软件的攻击。最终，该公司支付了440万美元的比特币来恢复他们的系统和数据。由于这是一次非常大规模的袭击，联邦调查局也介入其中，并最终将黑客的钱包地址“扣押”了。

6月初，支付给黑客的数百万美元被FBI追回并归还给ColonialPipeline。就该案件结果的本身而言，这是一项巨大的成就，也为网络安全的奋斗迈出了一大步，事后FBI公开了一个关于追踪这笔比特币资金流向的报告。

虽然报告中关于案件的加密货币钱包地址被隐藏了，但因为它们遵循区块链可识别的特征，我们可以轻松的在区块链记录中找到。

确定完整的钱包地址后，我们可以在区块链上找到这个钱包，并查看传输的内容和时间。

请注意，截图中地址的比特币数量以及钱包地址的后半部分与FBI的报告一致。而比特币的价格会波动，所以截图中显示的价值将与今天有所不同。

追查资金流向

检查FBI报告中描述的步骤28-33，我们可以跟踪到大约五个不同的钱包地址，这些地址是这笔比特币的去向。

距离黑客原始的钱包地址只有五次转移，看起来这些黑客似乎没有使用“混合器”。他们只是……转移了钱......而已。

最终产生的交易将63个比特币发送到了FBI扣押的钱包地址。然而，63BTC与75比特币的勒索支付数量不一致，这是什么原因？

其他的比特币呢？

需要注意的是，无论当前的比特币/美元的兑换率如何，63BTC≠75BTC。我们只能推测，最初的一些资金可能是给了黑客附属的公司或合作伙伴的，因为众所周知，DarkSide确实在与其他人合作。也许这些资金发送到的钱包地址不是FBI能够控制且无法恢复的地址。

然而，值得庆幸的是，考虑到比特币的价格波动和被“扣押”钱包中的可用资金，在支付给黑客的最初440万美元中，有230万美元得以追回。

联邦调查局是如何获取到钱包的访问权限？

不幸的是，我们也对此感到疑惑。不管是什么原因什么方式，最终FBI已经发现了这个钱包地址所对应的私钥，但是获取的方式尚未公开披露。当然，黑客可能有一些错误，或者其他泄密事件，甚至是FBI进行的一些主动入侵……但这仍然是个谜。

加密货币的采用在黑客中究竟有多普及？

在“地下黑市”中，有许多罪犯仅使用加密货币来买卖恶意软件或黑客服务。

大多数情况下，这些服务或商品会显示一个加密货币二维码，可以使买家轻松地进行付款。如果买家无法扫描二维码，则网页会显示出卖家的加密货币钱包地址，买家可以在钱包中自行转账。

这在整个恶意软件市场和黑客论坛中都很普遍，而这只是用加密货币购买一些的工具和框架。

加密黑客的“新宠”—剪贴板劫持

最让我们细思极恐的是黑客的小型攻击形式——更改用户复制和粘贴的钱包地址。黑客可以锁定计算机的剪贴板并在受害者即将汇款时修改钱包地址。通过将恶意软件注入到用户的计算机中，可以执行简单的切换，将转账时收件人的钱包地址替换为黑客自己的钱包地址，当加密货币汇款入黑客的地址后，因为区块链的特性，受害者根本无法取回。

网络安全公司ThreatPost?最近截获到了一个隐藏在常见自动运行文件中的远程控制木马，这个文件被可疑地命名为“AdobeColorCR_ExtraSettings_1_0-mul.zip”。

经过对该文件外壳的”抽丝剥茧“，最终技术人员得到了该恶意文件的核心代码，并发现了明确的远程访问木马(RAT)功能——与传统的木马一样。

这个恶意文件最有趣的地方来了，技术人员发现了名为“funcCret”和“sendClib”的特殊函数。这也就是前文提到的”剪贴板攻击“。funcCret”的功能包括加密货币钱包地址，并将自动检查受害者计算机的剪贴板数据，有没有存在任何的钱包地址。如果在剪贴板中找到了钱包地址，“sendClib”函数会将黑客的恶意钱包地址替换剪贴板内容。而黑客的恶意钱包地址如下图所示：

我们可以先假设图片圈出的代码中的“bch”是指比特币现金，“etho”是指以太坊，但“Mizu”是什么呢？

通过将“Mizu”地址在比特币区块链浏览器中搜索，技术人员发现，汇入这个地址中的比特币有非常多，以至于该钱包地址的比特币总价值超过了200万美元。

使用这种“剪贴板劫持”技术的黑客目前已获利超过200万美元。

目前该恶意软件和攻击中使用的恶意钱包地址已被ThreatPost公司报告给此比特币滥用数据库。

我们需要注意

无论能否通过公共区块链追踪资金，事实仍然是黑客热衷于在恶意软件中使用加密货币，以合法的现实世界资产来牟利。

虽然我们已经看到勒索软件猖獗，信息和数据在暗网上拍卖，远程挖矿木马偷偷使用我们的计算机资源用来挖掘加密货币，但这种剪贴板劫持技术也同样值得我们注意。如果我们不去认真查看Windows文件系统中的角落，不去检查那些可以自动运行的程序或应用，下一个受到伤害的可能就是我们。

标签：COINCOIDCOOINcloakcoinBeforeCoinMarketCapBIDCOMMFIT Coin

XRP热门资讯