Кейс Threat Hunting — история о ботах и ​​украденных средствах

Ребята, хватайте попкорн и детективные шляпы! Сегодня мы погружаемся в захватывающую историю проекта по поиску угроз, за ​​который мы взялись. Мы не можем раскрыть всю информацию из соображений конфиденциальности, но обещаем, что это всего лишь американские горки в истории. 

Фишинговая афера 

Наша история начинается с простого сообщения, обещающего пользователям социальных сетей быстрый путь в клуб криптомиллионеров. После того, как его засыпали видеороликами TikTok, где криптомиллионеры выставляют напоказ свои роскошные Lamborghini и проповедуют, как легко быстро разбогатеть, пользователь не мог не подумать: «Теперь моя очередь!»

После того, как вы зашли на сайт и с волнением вошли в систему, на экране внезапно появляется почти 1.5 миллиона долларов. Пользователь расстраивается от перспективы наконец-то бросить работу и уединиться где-нибудь на песчаном пляже и, недолго думая, нажимает кнопку «выйти».

Но не без предварительного одобрения передачи!

После подписания транзакции с использованием своего кошелька для одобрения обмена не было обнаружено никаких признаков взлома кошелька пользователя. Казалось, пользователь действительно только что разбогател! Все выглядело прекрасно, и контракт был выполнен без сучка и задоринки… Так что никакого риска не было. Верно?

Не совсем…

К несчастью для этого пользователя, эти злоумышленники хитры. Они разрабатывают ничего не подозревающий UI/UX, который выглядит абсолютно безопасным. За этим невинным фасадом они незаметно сливают все доллары США, которые жертва хранила в надежде инвестировать их в следующий 10,000 XNUMX-кратный альткойн.

Но как именно они организуют эту хитрую операцию? Продолжайте читать, чтобы узнать.

Миссия Сайфера

В этой сумасбродной погоне за исследовательским проектом перед нами стояла задача разобраться в масштабах этой операции, выследить все известные домены и адреса и разоблачить виновных, стоящих за всем этим. За несколько месяцев мы решили большинство наших первоначальных вопросов, а также множество неожиданных головоломок, о которых мы даже не подумали задать вначале!

Давай нырнем в ...

Как это началось:

Мы пришли к выводу, что лучшая стратегия — атаковать по всем фронтам, но прежде чем действовать, нам нужно собрать больше информации. Чтобы получить необходимую информацию, мы начали с изучения всех имеющихся у нас потенциальных клиентов.

1. Вредоносный аккаунт в Твиттере
2. Вредоносный веб-сайт
3. Вредоносный смарт-контракт

Что мы обнаружили:

Боты Боты Боты

Первоначально мы подозревали, что это бот. Благодаря дальнейшему расследованию мы смогли подтвердить, что наши инстинкты были верны. У бота было небольшое количество подписчиков, и он подписывался лишь на несколько аккаунтов. Он опубликовал несколько твитов, пропагандирующих мошенничество и использующих типовые фотографии и текст, созданный искусственным интеллектом. Чтобы дать нам некоторые подсказки и помочь найти похожие страницы, мы внимательно проанализировали страницу Twitter на предмет уникальных функций. Мы начали с поиска конкретных смайлов в описании, что привело к множеству нерелевантных результатов. Когда мы подумали, что зашли в тупик, мы совершили прорыв! Пространство нулевой ширины (ZWS) между двумя смайликами оказалось решающим элементом в нашем процессе снятия отпечатков пальцев.

🚀​🪙

Для человеческого глаза здесь нет ничего необычного… Однако при ближайшем рассмотрении между ними приютился еще один, невидимый персонаж. Эта мельчайшая деталь сыграла важную роль в нашем исследовании.

Мы предположили, что это мог быть сбой в скрипте бота. После этого открытия мы выявили более 300 ботов, имеющих один и тот же характер, каждый из которых продвигает различные виды мошенничества с криптовалютой и ссылается на их веб-сайты. Имея этот список на руках, мы перешли к следующему фронту.

Плохие сайты

После успешного обнаружения ботов следующим шагом стало исследование этих мошеннических веб-сайтов. Это включало в себя комплексную разведку, которая включала анализ поддоменов и папок сервера, сбор информации из открытых источников (OSINT), снятие отпечатков пальцев сервера, использование определенных поисковых запросов (дорки), обнаружение идентификатора Google Analytics, проверки прозрачности сертификатов и многое другое. В ходе этого процесса мы обнаружили специальную серверную часть веб-сайта, которая не была связана с официальным сайтом.

Мы проследили за хлебными крошками и с помощью одного из наших Google-придурков обнаружили, что этот интерфейс администратора упоминался в сообщении Pastebin за несколько месяцев до этого. Этот пост содержал список сотен похожих веб-сайтов, которые использовали один и тот же сервер.

К счастью, один из этих сайтов загрузил свои исходные карты. Это дало нам доступ к полному коду интерфейса, включая комментарии. Благодаря этому мы узнали настоящее название мошеннической платформы! Позже мы узнали, что код продавался в Даркнете как платформа криптомошенничества.

Благодаря нашему тщательному анализу мы определили базирующуюся в Азии группу киберпреступников, ответственную за мошенничество, и поделились этой информацией с правоохранительными органами, чтобы привлечь их к ответственности.

Хотя идентификация преступника была огромным достижением, нам все равно нужно было понять их методы. Это привело нас к следующему направлению исследования: смарт-контракту.

Хитрый смарт-контракт 

В ходе нашего расследования их смарт-контрактов проверка вредоносных транзакций показала, что контракт обманным образом просил пользователя «одобрить все», давая смарт-контракту разрешение удалить все средства из кошелька пользователя. Мы не были удивлены, поскольку этот тип мошенничества широко распространен из-за высокого риска Dapps (подробнее об этом можно прочитать в отличная работа наших коллег из Zengo).

Но нам нужно было копнуть еще глубже, чтобы понять, как это было сделано, поэтому мы решили провести реверс-инжиниринг контракта. Наш анализ выявил странный код операции, который активировался, когда пользователь пытался вывести средства. Контракт проверял глобальную переменную block.basefee, представленную кодом операции EVM 0x48 в EIP-3198. Если бы эти переменные были равны 0, все средства контракта были бы переведены жертве – полная противоположность мошенничеству.

(Следите за обновлениями, чтобы прочитать наше предстоящее руководство о том, как реконструировать контракты с помощью ChatGPT).

Мы продолжили копать и обнаружили, что многие инструменты моделирования транзакций позволяют пользователям предварительно просматривать результат транзакции, не выполняя ее фактически. Эти инструменты в основном представляют собой оболочки для реализации узла Ethereum. трассировка_call/debug_traceCall.

Злоумышленник успешно расшифровал реализацию трассировки_вызова и создал код, который в симуляции ведет себя иначе, чем в реальной жизни, не гарантируя подозрений со стороны пользователей. Это означает, что в моделируемой среде создается впечатление, будто жертва получила средства, тогда как на самом деле никаких транзакций не происходит.

Этот тип вредоносного ПО редко встречается в дикой природе. Насколько нам известно, это первый экземпляр вредоносного ПО на основе EVM, направленного против VM.

Заключение

В заключение, этот проект по поиску угроз подчеркивает важность всесторонних, многогранных исследований в обнаружении и понимании крипто-мошенничества. Было использовано множество методов, от снятия отпечатков пальцев с помощью ботов и разведки веб-сайтов до анализа смарт-контрактов. Эти методы продемонстрировали, как углубленный анализ может раскрыть истинную природу операции, дать представление о ее мотивах и даже выявить преступников.

Кроме того, в этом тематическом исследовании подчеркивается необходимость бдительности и осторожности при онлайн-транзакциях, особенно в криптовалютах. В этом случае злоумышленникам удалось создать убедительный UI/UX, подчеркнув необходимость информирования пользователей о фишинговых атаках и важность проверки подлинности веб-сайтов и транзакций. Это может снизить риск кражи средств и создать более безопасную и безопасную онлайн-среду.

Конец.