新興區塊鏈 C2 威脅浮現，「EtherHide」成駭客新寵

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心

隨著Web3與智能合約技術日益成熟，資安威脅也呈現新型演化，攻擊者開始利用區塊鏈平台做為命令與控制（Command & Control, C2）架構。 2023年10月，資安研究人員首次提出一種名為「EtherHide」的技術，該技術運用區塊鏈的去中心化、不可篡改及匿名性特性，攻擊者將C2惡意指令或惡意酬載(Payload)地址寫入智能合約(Smart Contracts)中，從而繞過傳統網路防禦機制如域名攔截、IP封鎖和流量監控，提高C2架構的隱蔽性。 EtherHide技術是將惡意酬載或指令寫入區塊鏈上的智能合約，使惡意程式得以在感染階段與後續攻擊階段，透過查詢區塊鏈取得最新指令，形成難以封鎖的 C2 通道。 根據多起資安事件分析，EtherHide經常與偽裝更新的「ClearFake」搭配使用，先以假更新誘導下載，再由EtherHide提供後續酬載，成為攻擊者初始滲透的重要手法。 ClearFake是一種以社交工程為核心的攻擊手法，最早於2023年第2季被發現，攻擊者會在受感染的網站中，植入惡意JavaScript程式碼（實務案例多半發生在遭入侵的WordPress網站），當使用者瀏覽到這些頁面時，網站會彈出偽裝成系統通知或軟體更新的假訊息，誘導試用者點擊。 一旦使用者誤點，隱藏於其中的惡意指令便會被立刻執行。 圖1為常見的假通知範例。 圖1：偽造系統通知或軟體更新之範例。 圖片來源：wyretechnology 從2024年至今，常見的攻擊流程如下： 攻擊者首先入侵存在漏洞的WordPress網站，從而取得網站的控制權 取得網站控制權後，攻擊者在網站頁面植入惡意JavaScript程式碼 當使用者瀏覽受感染網站時，惡意JavaScript程式碼便會被自動執行 惡意程式碼彈出偽冒更新訊息(ClearFake攻擊活動)，誘騙使用者點擊 當使用者點擊後，惡意JavaScript會連線至BSC(Binance Smart Chain)智能鏈上的智能合約，透過EtherHide技術取得攻擊者放於區塊鏈上的惡意指令或酬載位置 根據鏈上指令，惡意JavaScript隨後下載並部署下一階段惡意程式至受害者電腦 最後，惡意程式啟動並執行其既定的攻擊行為 BSC(Binance Smart Chain)是幣安在2020年推出的區塊鏈平台，支援去中心化應用和智能合約。 EtherHide技術多半部署在BSC上，推測與其開發環境API的便利性有關，攻擊者普遍利用幣安SDK所提供的「eth_call」方法，此為用於讀取智能合約查詢操作，無需支付交易費用（gas），且不會在區塊鏈上留下紀錄。 eth_call使惡意程式能頻繁且隱蔽與智能合約通信，無須承擔鏈上交互所需的成本與痕跡風險，因而成為攻擊者實現鏈上C2架構的利器。 EtherHide技術利用區塊鏈作為隱蔽且難以封鎖的指令來源，使攻擊活動更具持續性與隱藏性，其吸引力包含： 傳統的追蹤技術不易套用於區塊鏈環境，增加防禦的難度 區塊鏈上的資料不可刪除，使惡意指令一旦部署就無法下架 攻擊者無需在受害者端部署大量檔案，有效降低被偵測的風險 由於EtherHide利用區塊鏈形成難以封鎖的C2通道，且常與假更新攻擊ClearFake併用，企業需從多面向加強防護。 以下為精簡防禦建議： 多起真實資安事件皆源於WordPress等常見CMS的漏洞或惡意外掛，應確保核心與外掛隨時更新，並搭配Web應用防火牆（WAF）等措施，降低被植入惡意腳本的風險 當受害者下載並執行惡意酬載時，仍需仰賴端點防護系統、動態行為分析與沙箱技術，來偵測惡意程式與異常活動 由於攻擊鏈常透過偽裝更新或假下載頁面誘導使用者點擊，企業應定期進行社交工程演練，以提升員工對惡意更新訊息與不明通知的警覺性 若敏感系統需透過節點或RPC介面與公共鏈互動，建議規劃白名單或其他存取控制機制，以避免遭惡意鏈上資料影響 資安公司與防毒廠商應將EtherHide視為新型態威脅來源，並適時納入行為偵測模型與威脅情報資料庫中

隨著Web3與智能合約技術日益成熟，資安威脅也呈現新型演化，攻擊者開始利用區塊鏈平台做為命令與控制（Command & Control, C2）架構。 2023年10月，資安研究人員首次提出一種名為「EtherHide」的技術，該技術運用區塊鏈的去中心化、不可篡改及匿名性特性，攻擊者將C2惡意指令或惡意酬載(Payload)地址寫入智能合約(Smart Contracts)中，從而繞過傳統網路防禦機制如域名攔截、IP封鎖和流量監控，提高C2架構的隱蔽性。 EtherHide技術是將惡意酬載或指令寫入區塊鏈上的智能合約，使惡意程式得以在感染階段與後續攻擊階段，透過查詢區塊鏈取得最新指令，形成難以封鎖的 C2 通道。 根據多起資安事件分析，EtherHide經常與偽裝更新的「ClearFake」搭配使用，先以假更新誘導下載，再由EtherHide提供後續酬載，成為攻擊者初始滲透的重要手法。 ClearFake是一種以社交工程為核心的攻擊手法，最早於2023年第2季被發現，攻擊者會在受感染的網站中，植入惡意JavaScript程式碼（實務案例多半發生在遭入侵的WordPress網站），當使用者瀏覽到這些頁面時，網站會彈出偽裝成系統通知或軟體更新的假訊息，誘導試用者點擊。 一旦使用者誤點，隱藏於其中的惡意指令便會被立刻執行。 圖1為常見的假通知範例。 圖1：偽造系統通知或軟體更新之範例。 圖片來源：wyretechnology 從2024年至今，常見的攻擊流程如下： 攻擊者首先入侵存在漏洞的WordPress網站，從而取得網站的控制權 取得網站控制權後，攻擊者在網站頁面植入惡意JavaScript程式碼 當使用者瀏覽受感染網站時，惡意JavaScript程式碼便會被自動執行 惡意程式碼彈出偽冒更新訊息(ClearFake攻擊活動)，誘騙使用者點擊 當使用者點擊後，惡意JavaScript會連線至BSC(Binance Smart Chain)智能鏈上的智能合約，透過EtherHide技術取得攻擊者放於區塊鏈上的惡意指令或酬載位置 根據鏈上指令，惡意JavaScript隨後下載並部署下一階段惡意程式至受害者電腦 最後，惡意程式啟動並執行其既定的攻擊行為 BSC(Binance Smart Chain)是幣安在2020年推出的區塊鏈平台，支援去中心化應用和智能合約。 EtherHide技術多半部署在BSC上，推測與其開發環境API的便利性有關，攻擊者普遍利用幣安SDK所提供的「eth_call」方法，此為用於讀取智能合約查詢操作，無需支付交易費用（gas），且不會在區塊鏈上留下紀錄。 eth_call使惡意程式能頻繁且隱蔽與智能合約通信，無須承擔鏈上交互所需的成本與痕跡風險，因而成為攻擊者實現鏈上C2架構的利器。 EtherHide技術利用區塊鏈作為隱蔽且難以封鎖的指令來源，使攻擊活動更具持續性與隱藏性，其吸引力包含： 傳統的追蹤技術不易套用於區塊鏈環境，增加防禦的難度 區塊鏈上的資料不可刪除，使惡意指令一旦部署就無法下架 攻擊者無需在受害者端部署大量檔案，有效降低被偵測的風險 由於EtherHide利用區塊鏈形成難以封鎖的C2通道，且常與假更新攻擊ClearFake併用，企業需從多面向加強防護。 以下為精簡防禦建議： 多起真實資安事件皆源於WordPress等常見CMS的漏洞或惡意外掛，應確保核心與外掛隨時更新，並搭配Web應用防火牆（WAF）等措施，降低被植入惡意腳本的風險 當受害者下載並執行惡意酬載時，仍需仰賴端點防護系統、動態行為分析與沙箱技術，來偵測惡意程式與異常活動 由於攻擊鏈常透過偽裝更新或假下載頁面誘導使用者點擊，企業應定期進行社交工程演練，以提升員工對惡意更新訊息與不明通知的警覺性 若敏感系統需透過節點或RPC介面與公共鏈互動，建議規劃白名單或其他存取控制機制，以避免遭惡意鏈上資料影響 資安公司與防毒廠商應將EtherHide視為新型態威脅來源，並適時納入行為偵測模型與威脅情報資料庫中 See more: https://www.twcert.org.tw/tw/cp-104-10535-99661-1.html