Wprowadzenie do problemu / definicja
Cyberprzestępcy coraz częściej sięgają po legalne i powszechnie dostępne technologie, aby utrudnić wykrywanie swoich operacji. Jednym z przykładów takiego podejścia jest EtherHiding, czyli technika polegająca na wykorzystaniu sieci Ethereum oraz inteligentnych kontraktów do przechowywania lub dystrybucji danych potrzebnych złośliwemu oprogramowaniu.
W praktyce blockchain nie pełni tu roli celu ataku, ale staje się elementem infrastruktury wspierającej kampanię malware. Atakujący mogą w ten sposób ukrywać adresy serwerów C2, odnośniki do kolejnych ładunków lub konfigurację operacji, co znacząco komplikuje działania zespołów bezpieczeństwa.
W skrócie
Przypadek określany jako EtherRAT pokazuje, iż publiczna infrastruktura Ethereum może służyć do maskowania krytycznych elementów łańcucha infekcji. Zamiast osadzać dane operacyjne bezpośrednio w kodzie próbki, malware pobiera je dynamicznie z inteligentnego kontraktu lub powiązanych danych on-chain.
- Ethereum może być używane do ukrywania wskaźników C2 i konfiguracji kampanii.
- Taki model utrudnia blokowanie infrastruktury metodami opartymi wyłącznie na domenach i adresach IP.
- Technika była obserwowana również w kampaniach wymierzonych w ekosystem npm.
- EtherHiding zwiększa odporność operacji przestępczych na przejęcie i analizę.
Kontekst / historia
W ostatnich latach rośnie liczba ataków na łańcuch dostaw oprogramowania, zwłaszcza w środowiskach opartych na otwartych rejestrach pakietów i automatyzacji procesów CI/CD. Atakujący coraz rzadziej ograniczają się do umieszczania prostego złośliwego kodu w pojedynczym pakiecie. Zamiast tego budują wieloetapowe kampanie, w których pierwszy komponent pełni rolę lekkiego loadera.
Na tym tle EtherHiding stanowi naturalną ewolucję technik maskowania infrastruktury. Zamiast polegać wyłącznie na klasycznych domenach, hostingu plików lub serwerach VPS, operatorzy malware wykorzystują publiczny i trwały charakter blockchaina do przechowywania danych sterujących. Dzięki temu mogą dynamicznie zmieniać parametry kampanii bez konieczności ponownej publikacji próbki.
Znaczenie tego trendu jest szczególnie duże w środowiskach deweloperskich, gdzie zewnętrzne zależności są pobierane automatycznie, a nietypowe wywołania sieciowe mogą pozostać niezauważone, jeżeli nie są objęte odpowiednim monitoringiem.
Analiza techniczna
Od strony technicznej mechanizm jest stosunkowo prosty, ale bardzo skuteczny. Początkowy etap infekcji, na przykład złośliwy pakiet w repozytorium lub skrypt uruchamiany na stacji roboczej dewelopera, zawiera kod pozwalający na odczyt danych z blockchaina Ethereum. Zamiast mieć na stałe zapisany adres serwera dowodzenia, malware pobiera go dynamicznie z kontraktu lub wskazanego rekordu.
Odczytane informacje mogą następnie posłużyć do uruchomienia kolejnych etapów operacji. Mogą to być adresy URL, wskaźniki serwerów C2, zakodowana konfiguracja kampanii lub dane służące do segmentacji ofiar. Taka architektura przypomina model loadera, w którym lokalny komponent jest niewielki, a adekwatna logika działania dostarczana jest dopiero po uruchomieniu.
- adres URL do pobrania kolejnego ładunku,
- wskaźnik do serwera C2,
- zakodowana konfiguracja kampanii,
- parametry identyfikacji lub segmentacji celu.
Z perspektywy obrońcy kluczowym problemem jest to, iż inteligentny kontrakt nie musi zawierać klasycznego złośliwego kodu wykonywalnego. Może działać wyłącznie jako magazyn danych, co utrudnia wykrycie go przy użyciu tradycyjnych metod analizy opartych na binariach, skryptach i ruchu HTTP. W efekcie część legalnie wyglądającej aktywności Web3 może w rzeczywistości pełnić funkcję kanału sterowania malware.
Konsekwencje / ryzyko
Najważniejsze ryzyko polega na omijaniu mechanizmów bezpieczeństwa opartych na reputacji oraz prostych regułach filtrowania ruchu. jeżeli organizacja nie uwzględnia publicznych sieci blockchain jako potencjalnego kanału komunikacji malware, aktywność atakującego może przez długi czas pozostać niewidoczna.
Dodatkowo EtherHiding zwiększa trwałość infrastruktury operacyjnej przestępców. Usunięcie pojedynczej domeny lub zablokowanie jednego hosta nie musi zakończyć kampanii, jeżeli nowe wskaźniki mogą zostać opublikowane w warstwie on-chain. To utrudnia zarówno reakcję na incydent, jak i mapowanie pełnego łańcucha infekcji.
- większa odporność infrastruktury atakujących na blokady,
- utrudniona analiza incydentu i atrybucja,
- wyższe ryzyko dla środowisk deweloperskich i pipeline’ów CI/CD,
- możliwość dynamicznej zmiany parametrów kampanii bez aktualizacji próbki,
- ograniczona skuteczność klasycznego blackholingu domen i adresów IP.
Szczególnie narażone pozostają organizacje intensywnie korzystające z pakietów open source, firmy technologiczne oraz zespoły DevOps. W takim scenariuszu pojedynczy loader może otworzyć drogę do kradzieży sekretów, przejęcia tokenów dostępowych, instalacji backdoora lub dalszego ruchu lateralnego.
Rekomendacje
Organizacje powinny rozszerzyć modele zagrożeń i założyć, iż blockchain może być wykorzystywany jako niestandardowy kanał dystrybucji konfiguracji lub komunikacji złośliwego oprogramowania. Oznacza to konieczność aktualizacji zarówno monitoringu, jak i procedur reagowania.
- zaostrzenie kontroli łańcucha dostaw oprogramowania, w tym skanowanie zależności, pinning wersji i stosowanie prywatnych mirrorów pakietów,
- monitorowanie bibliotek Web3, klientów RPC i innych komponentów, które pojawiają się bez uzasadnienia funkcjonalnego,
- rozszerzenie detekcji EDR i NDR o identyfikację zapytań do usług blockchain oraz nietypowych skryptów post-install,
- korelacja instalacji pakietów z późniejszymi połączeniami sieciowymi i pobieraniem dynamicznej konfiguracji,
- uwzględnienie analizy artefaktów on-chain w playbookach IR,
- ograniczanie uprawnień środowisk programistycznych i build agentów zgodnie z zasadą najmniejszych uprawnień.
W praktyce zespoły bezpieczeństwa powinny traktować nieuzasadnioną komunikację z Ethereum lub innymi sieciami blockchain jako potencjalny sygnał ostrzegawczy, szczególnie w środowiskach, które nie mają biznesowej potrzeby korzystania z takich technologii.
Podsumowanie
EtherRAT i technika EtherHiding pokazują, iż publiczny blockchain może zostać skutecznie wykorzystany do ukrywania infrastruktury wspierającej malware. Nie jest to atak na samo Ethereum, ale nadużycie jego cech: trwałości, publicznej dostępności i stosunkowo wysokiego poziomu zaufania do ruchu związanego z Web3.
Dla obrońców oznacza to potrzebę zmiany podejścia do analizy incydentów i monitoringu. Współczesna analiza malware nie może kończyć się na domenach, adresach IP i plikach wykonywalnych. Coraz częściej konieczne staje się badanie zależności open source, loaderów oraz danych pobieranych z rozproszonych systemów, w tym z inteligentnych kontraktów.
Źródła
- https://www.infosecurity-magazine.com/news/etherrat-bypass-security-ethereum/
- https://www.reversinglabs.com/blog/ethereum-contracts-malicious-code
- https://www.rsaconference.com/library/presentation/usa/2018/lost-in-the-ether-how-ethereum-hacks-are-shaping-the-blockchain-future
- https://arxiv.org/abs/1806.01143
- https://arxiv.org/abs/1809.03981
