Hacking
EtherRAT: malware με C2 πάνω στο Ethereum
Το EtherRAT χρησιμοποιεί το Ethereum ως ανθεκτικό C2, δείχνοντας γιατί τα blockchains δυσκολεύουν σοβαρά την άμυνα.
Τι ανακάλυψαν οι ερευνητές
Το τελευταίο κύμα επιθέσεων που εντόπισε το eSentire αποκαλύπτει μια σοβαρή αλλαγή στη νοοτροπία των επιτιθέμενων: αντί να βασίζουν την υποδομή διακυβέρνησης (command‑and‑control, C2) σε κλασικά domains ή servers, χρησιμοποιούν το δημόσιο δίκτυο του Ethereum για να κρύψουν και να διαχειριστούν σημεία επαφής με τα μολυσμένα συστήματα. Το εργαλείο του σεναρίου είναι ένα Node.js backdoor γνωστό ως EtherRAT, το οποίο συνδυάζει κλασικές δυνατότητες εξ απομακρυσμένης εκτέλεσης εντολών και συλλογής credentials με εξελιγμένα κόλπα απόκρυψης και ανθεκτικής διαχείρισης C2 μέσω smart contract — τεχνική που οι ερευνητές ονομάζουν EtherHiding.
Τι κάνει το EtherRAT
Το EtherRAT είναι ένας backdoor γραμμένος για Node.js που επιτρέπει σε επιτιθέμενους να εκτελούν αυθαίρετες εντολές, να μαζεύουν διαπιστευτήρια, να εξάγουν πορτοφόλια κρυπτονομισμάτων και να πραγματοποιούν βαθύ fingerprinting του θύματος. Έχει modular αρχιτεκτονική: από ένα μικρό stager που αποθηκεύει κώδικα σε μνήμη μέχρι πρόσθετα modules όπως ένα “SYS_INFO” που συγκεντρώνει λεπτομερείς πληροφορίες του host — δημόσια IP, στοιχεία hardware και OS, όνομα GPU, παρουσία antivirus, ρυθμίσεις domain, δικαιώματα διαχειριστή και μοναδικούς identifiers μηχανής. Με αυτά τα δεδομένα οι χειριστές αποφασίζουν ποια θύματα αξίζουν τα επόμενα στάδια της επίθεσης.
Σύνδεση με άλλες οικογένειες και τεχνικές απόκρυψης
Οι αναλυτές του eSentire εντόπισαν ομοιότητες του EtherRAT με το botnet «Tsundere» ως προς τις λειτουργίες fingerprinting, τα checks γλώσσας (CIS), την παράδοση μέσω IT support scams και τη συχνή χρήση του δωρεάν JavaScript obfuscator Obfuscator.io. Αυτές οι ομοιότητες υποδηλώνουν είτε κοινές πηγές εργαλείων είτε επαναχρησιμοποίηση τεχνικών σε εγκληματικά οικοσυστήματα τύπου Malware‑as‑a‑Service (MaaS). Η χρήση obfuscation και reobfuscation ροών — όπου ο κώδικας ανεβαίνει στο C2, λαμβάνει μια διαφορετικά “προσαρμοσμένη” έκδοση και αντικαθιστά τον εαυτό του — καθιστά τις στατικές υπογραφές λιγότερο παραγωγικές.
Αλυσίδα επίθεσης και living‑off‑the‑land
Στην πρακτική περίπτωση που έφερε στο φως το eSentire, η εισβολή ξεκίνησε με social engineering: επίθεση τύπου ψεύτικης τεχνικής υποστήριξης μέσω Microsoft Teams, χρήση του QuickAssist για interactive πρόσβαση και delivery μέσω ενός εργαλείου που ονομάζεται ClickFix. Οι χειριστές αξιοποίησαν υπάρχοντα Windows binaries (living‑off‑the‑land), όπως pcalua.exe για να ξεκινήσουν mshta.exe, το οποίο κατέβασε ένα κακόβουλο αρχείο HTA. Με προσεκτική χρήση caret characters και chaining εντολών απέφυγαν κάποιους περιορισμούς στην γραμμή εντολών και απέκρυψαν τα πραγματικά βήματα του payload.
Ποιοτικό τεχνικό προφίλ του loader
Ο multi‑stage Node.js loader ξεκινά με ένα πρώτο στάδιο που αποκρυπτογραφεί stagers αποθηκευμένα ως αρχεία .dat χρησιμοποιώντας AES‑256‑CBC. Αντί να γράφει κατευθείαν μεγάλο κώδικα στο δίσκο, εκτελεί scripts απευθείας στη μνήμη μέσω της εσωτερικής μεθόδου module._compile() του Node, μειώνοντας το αποτύπωμα στο αρχείο και δυσχεραίνοντας τη δυνατότητα ανίχνευσης από απλές σάρωσης αρχείων. Σε επόμενο στάδιο ένα obfuscated αρχείο αποθηκεύεται ως .bin και ξεκινά με child_process.spawn(). Η επιμονή (persistence) επιτυγχάνεται με τυχαία ονομασμένα κλειδιά HKCU Run μέσω reg.exe, ενώ για επιπλέον απόκρυψη ο executor κάνει proxy το node.exe μέσα από conhost.exe με ένα μη‑τυπικό —headless flag που δεν είναι τεκμηριωμένο, ώστε η συμπεριφορά να μοιάζει περισσότερο με νόμιμη διεργασία.
Η καινοτομία EtherHiding
Η πιο αξιοσημείωτη τεχνική είναι το EtherHiding: αντί να ενσωματώνει C2 domains στο codebase, το malware διαβάζει διευθύνσεις C2 από το state ενός smart contract στο Ethereum. Οι επιτιθέμενοι ενημερώνουν το smart contract με νέες διευθύνσεις μέσω της συνάρτησης setString και πληρώνουν μικρά gas fees για να περιστρέψουν τα endpoints. Το malware ερωτά πολλούς public RPC providers σε παράλληλο τρόπο και επιλέγει την πιο συχνά αναφερόμενη τιμή — μια απλή αλλά αποτελεσματική μέθοδος που τονώνει την ανθεκτικότητα απέναντι σε μεμονωμένες αποκλειστικές κινήσεις ή censorship.
Πώς μοιάζουν οι επικοινωνίες C2
Αφού επιλύσει το C2 από το smart contract, το EtherRAT χτίζει beacon URLs σχεδιασμένα να μοιάζουν με νόμιμη κίνηση CDN: HTTPS, κοινά path σαν το “/api/”, τυχαία hex segments, UUIDs και extensions που φαίνονται αβλαβή (.png, .css, .ico). Τα query parameters τυχατοποιούνται (id, token, b) ώστε να συγκαλύπτουν τη συμφραζόμενη κίνηση. Από αυτά τα endpoints το C2 μπορεί να στέλνει επιπλέον modules, να ενεργοποιεί debug logging προς %APPDATA%svchost.log ή να παραδίδει ανα‑obfuscated εκδόσεις του ίδιου του implant.
Γιατί αυτή η μέθοδος είναι προβληματική για τους αμυνόμενους
Η χρήση δημόσιων blockchains ως αποθηκευτικού χώρου για C2 καταργεί την παραδοσιακή δυνατότητα «take‑down» ενός server. Δεν μπορείς να σβήσεις ένα smart contract στο Ethereum απλά και γρήγορα — είναι ανθεκτικό και σχεδιαστικά αμετάβλητο. Ο τρόπος που το EtherRAT κάνει polling σε πολλαπλούς RPC providers και χρησιμοποιεί πλειοψηφική απάντηση σημαίνει ότι για να ξεριζώσεις μια επιχείρηση πρέπει είτε να μπλοκάρεις παγκοσμίως αρκετούς providers, είτε να ανιχνεύεις το pattern στην πλευρά του endpoint ή του τελικού σημείου. Επιπλέον, το κόστος για τον επιτιθέμενο είναι μικρό (ελάχιστα gas fees), οπότε η επανενεργοποίηση μακροχρόνιων infections γίνεται φθηνή.
Συμβουλές άμυνας και περιορισμοί
Στην πράξη, η άμυνα περιλαμβάνει πολλαπλά επίπεδα: αποκλεισμό περιττών crypto‑RPC providers στο περιβάλλον, ενίσχυση NGAV/EDR που εντοπίζουν εκτέλεση Node.js σε περίεργα context και την κατάχρηση LOLBins όπως mshta.exe ή pcalua.exe, και συνεργασία με 24/7 MDR υπηρεσίες για ταχεία απομόνωση. Επιπλέον, οργανισμοί πρέπει να απενεργοποιούν μη απαραίτητα binaries (π.χ. mshta.exe, pcalua.exe), να περιορίζουν την πρόσβαση στο Run prompt και να εφαρμόζουν πολιτικές που εντοπίζουν ύποπτα child_process.spawn() patterns. Στο δίκτυο, φίλτρα που αναλύουν αιτήσεις HTTPS για μοτίβα beacon (παραδοσιακά path + τυχαία extensions + παραμέτρους) και η απαγόρευση γνωστών contract addresses μπορούν να βοηθήσουν, αν και ορισμένες λύσεις απαιτούν συνεργασία με παρόχους RPC και πλατφόρμες παρακολούθησης blockchain.
Πρακτικό παράδειγμα: retail incident
Στην αναφορά του eSentire, η TRU εντόπισε live intrusion σε έναν πελάτη retail όπου η αλυσίδα περιελάμβανε social engineering, ClickFix delivery και την τελική αξιοποίηση ενός smart contract με διεύθυνση που επανεμφανίστηκε σε περιπτώσεις αντιπάλων σε finance, software και business services. Οι αναλυτές απομόνωσαν τον host, περιόρισαν την επίδραση και έστειλαν ενημερωμένο detection content σε endpoint, log και network telemetry — παρεμβάσεις που ήταν κρίσιμες για την περιορισμένη ανάκαμψη.
Ελληνικό και ευρωπαϊκό πλαίσιο
Σε ευρωπαϊκό επίπεδο, τέτοιες επιθέσεις φέρνουν νέα νομικά και τεχνικά διλήμματα. Η διαχείριση δημόσιων smart contracts που χρησιμοποιούνται για κακόβουλους σκοπούς εμπλέκει παρόχους υποδομών, ρυθμιστικές αρχές και υπηρεσίες ανταλλαγής για να αξιολογήσουν πώς θα αναγνωρίζονται και θα σημαίνονται τέτοια συμβόλαια. Στην Ελλάδα, οργανισμοί μικρού και μεσαίου μεγέθους που δεν διαθέτουν 24/7 MDR είναι ιδιαίτερα ευάλωτοι — η επένδυση σε βασικά EDR/NGAV και εκπαίδευση προσωπικού σε τεχνικές social engineering είναι μη διαπραγματεύσιμη προτεραιότητα.
Γιατί έχει σημασία
Η χρήση του Ethereum ως ανθεκτικής ραχοκοκαλιάς C2 αναδεικνύει μια τάση: οι επιτιθέμενοι αξιοποιούν δημόσιες, ανεξάρτητες υποδομές για να μειώσουν το κόστος, να επιμηκύνουν τη ζωή των infections και να αποθαρρύνουν την άμεση δικαστική ή τεχνική παρέμβαση. Αυτό μεταφράζεται σε ένα μακρόπνοο πρόβλημα για την ασφάλεια, όπου η παρακολούθηση και η συνεργασία μεταξύ παρόχων υποδομών, ασφάλειας και ρυθμιστικών φορέων γίνεται πιο κρίσιμη από ποτέ.
Τι να περιμένουμε στη συνέχεια
Εάν αυτή η πρακτική καθιερωθεί, θα δούμε πιθανώς παραλλαγές: χρήση άλλων blockchain (π.χ. BSC, Polygon), ενσωμάτωση IPFS για πρόσθετη ανθεκτικότητα, ή hybrid προσεγγίσεις που συνδυάζουν on‑chain pointers με αποκρυπτογραφημένα payloads σε cloud storage. Αντιμετωπίζοντας αυτό το μέλλον, οι defenders πρέπει να προσαρμόσουν detection στο επίπεδο συμπεριφοράς (behavioral), να μοιράζονται intel για suspicious contract addresses και να επενδύσουν σε simulation‑based εκπαίδευση για social engineering.
Συμπέρασμα
Το EtherRAT είναι μια σοβαρή υπενθύμιση ότι η τεχνολογία που θεωρούσαμε ουδέτερη ή καινοτόμα — τα δημόσια blockchains — μπορεί να γίνει εργαλείο για επιθέσεις. Η απάντηση δεν είναι να «απαγορεύσουμε» τεχνολογίες, αλλά να ενισχύσουμε την αντοχή των συστημάτων: καλύτερα EDR/NGAV, πιο αυστηρές πολιτικές για LOLBins, αποτελεσματικές διαδικασίες απομόνωσης και εκτεταμένη εκπαίδευση χρηστών απέναντι σε IT support scams. Όσοι διαχειρίζονται υποδομές και συσκευές πρέπει να θεωρήσουν πιθανές τέτοιες τεχνικές στο threat model τους — και να ενεργήσουν πριν η πρακτική γίνει η νέα κανονικότητα.
