通过前面两篇文章,我们已经掌握了很多关于DarkSide的知识。接下来我们将基于这些知识来挖掘未知的DarkSide地址和勒索事件。 0x6. 探赜索隐:挖掘未知勒索事件 与上一小节不同的是,我们会考虑已知DarkSide地址参与支付过程和转移过程的情况;并且在挖掘勒索事件的过程中不断扩充DarkSide地址。挖掘的具体步骤如下: 以已知的25个DarkSide地址作为初始种子地址,记作 fresh_seeds ;同时初始化 traced_seeds 为空,用于记录所有被分析过的DarkSide地址。 对 fresh_seeds 中地址的资金来源与去向进行追踪。如果地址参与了赎金支付过程,在追踪资金去向的过程中有机会发现拆分交易;反之,如果地址参与的是赎金转移过程,在追踪资金来源的过程中可能发现拆分交易。当然,也可能在地址直接作为输入或输出地址的交易中发现拆分交易。由于赎金支付过程和转移过程存在不定长资金流,我们无法预知需要前向/后向追踪多长距离才能发现赎金拆分交易。根据经验,我们将前后向追踪的范围设置为4跳交易,得到交易图 Gtx (transaction graph)。完成追踪后将 fresh_seeds 添加到 traced_seeds 中。 从 Gtx 中识别勒索事件,结果记作集合 SE (event set)。准确来说,我们从 Gtx 中识别出赎金拆分交易,并将 Pout 、Sa、以及 Sd 完全一致的拆分交易归为一组,每组代表一起勒索事件。这里的勒索事件还需要额外符合两个特征:1)事件包含的所有拆分交易具有相同的拆分比例,且比例只能是80:20、85:15、90:10三者之一;2)事件涉及的勒索金额累计超过10万美元。 对 SE 中每个事件,检查其拆分交易中是否存在地址 Pout 、Sa、 Sd 不属于 traced_seeds 。如是,意味着我们发现了新的DarkSide地址,将这些地址和与它们同属一个钱包的其他地址作为新的 fresh_seeds 。 基于 fresh_seeds 重复步骤2~4 (记作一轮探索),直到 fresh_seeds 为空。在此过程中, Gtx 会被不断扩充 (开始新一轮探索时不会重置 Gtx )。 基于最终的 Gtx ,识别勒索事件 (同样需要符合步骤3中列出的两个特征)。 经过5轮探索,我们最终识别了51起事件,涉事赎金累计约9300万美元。出乎意料的是,最近两起事件的赎金金额 (Colonial Pipeline和Brenntag支付的赎金都约为440万美元) 可能并不是DarkSide的历史最高记录。根据检测结果,2021年1月27日发生的一次勒索事件收取赎金约1500万美元,2021年2月13日也有一次价值1000万美元的勒索事件,而这两起事件的赎金拆分比例也的确符合拆分策略,都是90:10。 经过上述分析,我们从区块链上挖掘出了51起DarkSide参与的勒索事件,包括5月份发生的两起已知事件。 需要指出的是,我们的挖掘方法是保守的: 首先是赎金拆分交易的判定。步骤3仅将符合80:20、85:15、90:10这三种拆分比例之一的事件识别为有效事件,但根据DarkSide的赎金拆分策略,实际的拆分比例可能更多样化。 其次是DarkSide地址的判定。步骤4基于赎金拆分交易的输入地址和输出地址来扩充DarkSide地址,但根据前面建立的赎金流动模型,赎金的支付过程和转移过程中也充斥着DarkSide地址。 这也就意味着,我们挖掘出来的还不是DarkSide的全部阴暗面。 0x7. 结语 正如文章开头所说,Colonial Pipeline勒索事件到此告一段落,但留给我们的问题却远未解决。这篇文章中我们还原了Colonial Pipeline勒索事件中赎金的流动过程,剖析了DarkSide的赎金操纵行为,并基于行为特征挖掘出了DarkSide参与的其他勒索事件。然而我们所知的依然有限:一方面,Colonial Pipeline勒索事件并非终点,新的勒索软件攻击事件依然在不断地酝酿和出现;另一方面,在DarkSide之外,也存在着其它勒索软件服务提供商。还有诸多疑问需要一步厘清:其它基于RaaS的勒索组织有着怎样的赎金操控模式?如何识别DarkSide之外其他RaaS勒索组织实施的攻击事件?能否通过监控区块链上的交易来捕捉正在发生的勒索事件?上述问题的答案有待于我们进一步的探索,也期待在不远的将来能给大家分享更多更为深入的发现。 关于BlockSec BlockSec团队以核心安全技术驱动,长期关注DeFi安全、数字货币反洗钱和基于隐私计算的数字资产保护,为DApp项目方提供合约安全和数字资产安全服务。团队拥有数十余名区块链安全研究人员,共发表20多篇顶级安全学术论文(CCS, USENIX Security, S&P),核心创始人获得AMiner全球最具影响力的安全和隐私学者称号(2011-2020排名全球第六)。研究成果获得中央电视台、新华社和海外媒体的报道。独立发现数十个DeFi安全漏洞和威胁,获得2019年美国美国国立卫生研究院隐私计算比赛(SGX赛道)全球第一名。团队以核心技术驱动,秉持开放共赢理念,与社区伙伴携手共建区块链安全生态。 查看更多 —- 编译者/作者:BlockSec 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
暴露出来的只是冰山一角:深度挖掘ColonialPipeline事件背后隐藏的故事(下)
2021-09-15 BlockSec 来源:区块链网络
LOADING...
相关阅读:
- CoinEx智能链(CSC)全球黑客马拉松比赛正式拉开序幕2021-09-15
- 链改浪潮来临链改资讯门户网站BitNews崛起2021-09-15
- 中国区块链产业峰会盛大召开,普华集团构建数据存储新方案2021-09-15
- NFTDOGE新的虚拟生态建立—元宇宙2021-09-15
- 和数研究院通过ISO/IEC“信息安全管理体系”、“信息技术服务管理体系2021-09-15