FBI 如何截獲黑客私鑰並追回勒索損失？剪貼板劫持值得我們的注意

專業知識來源 | 安全網站 Threat Post

整理撰稿 | 白澤研究院

一葉知秋、秋風颯爽，我們度過了一個“有點冷”的加密 Summer，在這幾個月中，幾乎每周都有新的黑客勒索軟件的攻擊。無論是 Colonial Pipeline、JBS、馬薩諸塞州輪船、Fujifilms 還是新聞報道中的其他組織，網絡犯罪似乎比以往任何時候都更受關注。

最近的一份的報告顯示，網絡犯罪使全球損失超過 1 萬億美元，預計到 2025 年全球經濟將損失 10.5 萬億美元。

今年關於黑客勒索事件，最出名的還是美國最大的管道運營商 Colonial Pipeline 向破壞服務器和網站的黑客、其他在暗網上出售數據的網絡犯罪團伙支付 440 萬美元，因為黑客的攻擊行為導致美國東海岸的燃料價格飆升。

所有這些事件和攻擊有一個很強的共性：黑客想要加密貨幣。

黑客如何獲利？

黑客在受害者那裡獲利的方式有很多種。其中有幾種方法很突出：

1. 勒索軟件

將受害者的計算機系統加密，包括他們的個人數據和文件，會給受害者帶來緊迫感和混亂，以此來索取贖金。黑客勒索時，通常都會要求受害者在短時間內付款，並威脅會公開數據。

勒索軟件速度快且利潤豐厚，其潛在獲利從數千美元到數百萬美元不等。如果受害者受到勒索軟件的攻擊，他們的計算機屏幕上會清楚地顯示這一點，並且他們知道自己已經受到攻擊。這消除了黑客的“隱身”的隱患。

2. 出售或濫用被盜數據

如果黑客在攻擊的數據庫中有訪問權限並且可以監聽網絡通信或敏感信息，他們就可以使用它。黑客們可能會將訪問權出售給暗網上的其他黑客，或者使用找到的銀行信息、信用卡數據或憑據來盜取賬戶存款。總而言之，他們可以造成很多傷害。

雖然這種方法比勒索軟件更隱蔽，但仍有被警方鎖定的風險。此外，如果黑客們決定出售這些信息，他們有可能找不到買家。最終，這種方法有太多可變的結果，黑客可能會選擇不同的策略。

3. 隱蔽的挖礦木馬—“黑客的提款機”

在黑客入侵受害者的計算機后，他們可以做任何他們想做的事情。通常，黑客會安裝“後門”，確保他們具有持久訪問權限並可以長時間保持對計算機的控制。這種持久性訪問權限的獲得方式採用一個佔用空間小、不顯眼的“存根”的形式，它可能隱藏在計算機自動運行的代碼段中。

雖然，持續控制受害者的計算機本身並不能賺錢，但是，你的計算機已經成為了這些黑客未來的“提款機”。

受到控制的計算機會“被迫”來計算哈希值，以便挖掘比特幣、以太坊、門羅幣或他們喜歡的任何其他加密貨幣。這會使得受控制的計算機的 CPU、RAM 和其他資源被大量消耗，增加受害者的電費。因為它保持隱藏的狀態，所以受害者每次打開計算機時，挖礦程序都會自動運行。

在以上三種黑客常見的獲利方式中，緩慢的挖掘加密貨幣將在短期內賺到最少的錢。但如果這種攻擊沒有引起注意，從長遠來看，它可能會帶來巨額回報，特別是如果它同時針對多個受害者。這種攻擊方式是最隱蔽的，以緩慢、非侵入性的方式進行。與勒索軟件不同（受害者會知道自己受到了威脅），如果加密貨幣挖礦程序正在運行，受害者可能完全不會注意到。

加密貨幣—黑客完美的“逃生之車”

加密貨幣是黑客的完美“逃生之車”，這得益於加密貨幣/區塊鏈本身的自主性、匿名性、永久性和開放性的特點。使用加密貨幣，不會受到銀行和政府的監督；沒有銀行手續費、賬戶維護費、最低餘額限制或透支費用。

如果黑客僅接受加密貨幣支付，那麼這個黑客實際上可以一直保持匿名。加密貨幣的交易不會展示身份信息、電子郵件地址、姓名或任何詳細信息。

對黑客來說，加密貨幣最吸引人的特點可能是永久性：一旦匯款，就無法取回，區塊鏈上的交易回滾不太可能發生。這意味着對於勒索軟件之類的攻擊，黑客可以攜款逃跑。

了解區塊鏈或加密貨幣的朋友們此時可能會有一個疑問：加密貨幣的一個重要注意事項是交易保存並顯示在分佈式的賬本上。任何人都可以在區塊鏈的瀏覽器上查詢資金往來何處，“如果交易是公開的，那麼壞人怎麼能保持匿名？”

請注意，錢包地址和轉賬本身不攜帶個人身份信息。最重要的是，黑客可能經常通過“混合器”發送資金或通過多個錢包轉移加密貨幣來“清洗”加密貨幣。事實上，有一些去中心化的協議可以為你做到這一點，例如 tornado.cash 可以“清洗”以太坊（ETH）。通過多個錢包匯款，減少了與原錢包地址的聯繫，這可以大大增加隱秘程度。

拋開一些加密貨幣為區塊鏈帶來的豐富創新，僅考慮黑客相關的問題，比特幣、以太坊等加密貨幣仍然是“黑客的貨幣”。沒有監管機構，加密貨幣市場可以不受監管地繼續運行下去，同時還會繼續提供給黑客“逃生之車”，因為沒有其他技術可以幫助黑客“完美犯罪”。

FBI 如何截獲私鑰並追回勒索損失？

雖然比特幣交易是匿名的，但可以通過區塊鏈的記錄來跟蹤資金，以了解這些交易的實際情況以及它們的去向。下面我們將帶大家還原今年夏天發生的針對美國最大的管道運營商 Colonial Pipeline 的勒索攻擊案件。

Colonial Pipeline 在今年早些時候遭到勒索軟件的攻擊。最終，該公司支付了 440 萬美元的比特幣來恢復他們的系統和數據。由於這是一次非常大規模的襲擊，聯邦調查局（FBI）也介入其中，並最終將黑客的錢包地址“扣押”了。

6 月初，支付給黑客的數百萬美元被 FBI 追回並歸還給 Colonial Pipeline。就該案件結果的本身而言，這是一項巨大的成就，也為網絡安全的奮鬥邁出了一大步，事後 FBI 公開了一個關於追蹤這筆比特幣資金流向的報告。

雖然報告中關於案件的加密貨幣錢包地址被隱藏了，但因為它們遵循區塊鏈可識別的特徵，我們可以輕鬆的在區塊鏈記錄中找到。

確定完整的錢包地址后，我們可以在區塊鏈上找到這個錢包，並查看傳輸的內容和時間。

請注意，截圖中地址的比特幣數量以及錢包地址的後半部分與 FBI 的報告一致。而比特幣的價格會波動，所以截圖中顯示的價值將與今天有所不同。

追查資金流向

檢查 FBI 報告中描述的步驟 28-33，我們可以跟蹤到大約五個不同的錢包地址，這些地址是這筆比特幣的去向。

距離黑客原始的錢包地址只有五次轉移，看起來這些黑客似乎沒有使用“混合器”。他們只是……轉移了錢……而已。

最終產生的交易將 63 個比特幣發送到了 FBI 扣押的錢包地址。然而，63 BTC 與 75 比特幣的勒索支付數量不一致，這是什麼原因？

其他的比特幣呢？

需要注意的是，無論當前的比特幣/美元的兌換率如何，63 BTC ≠ 75 BTC。我們只能推測，最初的一些資金可能是給了黑客附屬的公司或合作夥伴的，因為眾所周知，DarkSide（Colonial Pipeline 攻擊背後的勒索軟件團伙）確實在與其他人合作。也許這些資金髮送到的錢包地址不是 FBI 能夠控制且無法恢復的地址。

然而，值得慶幸的是，考慮到比特幣的價格波動和被“扣押”錢包中的可用資金，在支付給黑客的最初 440 萬美元中，有 230 萬美元得以追回。

聯邦調查局是如何獲取到錢包的訪問權限？

不幸的是，我們也對此感到疑惑。不管是什麼原因什麼方式，最終 FBI 已經發現了這個錢包地址所對應的私鑰，但是獲取的方式尚未公開披露。當然，黑客可能有一些錯誤，或者其他泄密事件，甚至是 FBI 進行的一些主動入侵……但這仍然是個謎。

加密貨幣的採用在黑客中究竟有多普及？

在“地下黑市”中，有許多罪犯僅使用加密貨幣來買賣惡意軟件或黑客服務。

大多數情況下，這些服務或商品會顯示一個加密貨幣二維碼，可以使買家輕鬆地進行付款。如果買家無法掃描二維碼，則網頁會顯示出賣家的加密貨幣錢包地址，買家可以在錢包中自行轉賬。

這在整個惡意軟件市場和黑客論壇中都很普遍，而這只是用加密貨幣購買一些的工具和框架。

加密黑客的“新寵”—剪貼板劫持

最讓我們細思極恐的是黑客的小型攻擊形式——更改用戶複製和粘貼的錢包地址。黑客可以鎖定計算機的剪貼板並在受害者即將匯款時修改錢包地址。通過將惡意軟件注入到用戶的計算機中，可以執行簡單的切換，將轉賬時收件人的錢包地址替換為黑客自己的錢包地址，當加密貨幣匯款入黑客的地址后，因為區塊鏈的特性，受害者根本無法取回。

網絡安全公司 Threat Post 最近截獲到了一個隱藏在常見自動運行文件中的遠程控制木馬，這個文件被可疑地命名為“AdobeColorCR_ExtraSettings_1_0-mul.zip”。

經過對該文件外殼的”抽絲剝繭“，最終技術人員得到了該惡意文件的核心代碼，並發現了明確的遠程訪問木馬 (RAT) 功能——與傳統的木馬一樣（具有發送和接收數據以及執行命令的能力）。

這個惡意文件最有趣的地方來了，技術人員發現了名為“funcCret”和“sendClib”的特殊函數。這也就是前文提到的”剪貼板攻擊“。funcCret”的功能包括加密貨幣錢包地址，並將自動檢查受害者計算機的剪貼板數據，有沒有存在任何的錢包地址。如果在剪貼板中找到了錢包地址（例如用戶“複製”了一個地址來購買物品一樣），“sendClib”函數會將黑客的惡意錢包地址替換剪貼板內容。而黑客的惡意錢包地址如下圖所示：