分析师提示 #16：门罗币的硬分叉增强了隐私性并可能使其对网络犯罪分子更具吸引力

新的和值得注意的：门罗币硬分叉改善了隐私——比特币可能仍然是犯罪分子的“最爱”

2022 年 8 月 13 日，门罗币经历了一次硬分叉，即协议升级，引入了多项新功能以提高用户匿名性和性能。 [5] EclecticIQ 分析师评估，比特币仍将是网络犯罪分子使用的最受欢迎的货币 [6]，但精明的犯罪分子将转向门罗币和其他匿名增强加密货币 (AEC)。 由于其对隐私的承诺，Monero 对犯罪活动的适应在过去几年中一直在增长。 [7, 8, 9]. 越来越多的威胁参与者开始了解 BTC 交易比 Monero 和其他 AEC 更透明、更容易追踪。 然而，各国已经禁止门罗币 [10] 很多交易所都下架了 [11, 12]，限制了它的流动性，从而阻碍了它的价值。 此外，最近对 Tornado Cash 的制裁 [13] 美国财政部的禁令给门罗币社区带来了不确定性和恐惧，担心美国政府也可能关闭门罗币。[14]

Monero 被认为是一种匿名增强型加密货币，因为它使用环签名、环机密交易和隐形地址来隐藏和保持用户的身份匿名。 Ring Confidential Transaction (RingCT) 是一种加密交易金额的技术。 只有发送方和接收方知道交易金额。

环签名是一种在交易输入端保护用户隐私、屏蔽发送者和交易来源的技术。 为了防止交易与发送者相关联，门罗币将用户的交易签名与其他用户的交易签名合并，从而在区块链分析中产生歧义，并使追溯具有挑战性。 在其最新的分叉中，门罗币将环大小从 11 增加到 16，这意味着需要更多的密钥来完成交易环，从而改善匿名集。

隐形地址可防止交易链接到收件人的公共钱包地址。 在门罗币中，发件人需要代表收件人为每笔交易创建随机的一次性地址。 这意味着，没有人知道哪些钱包用于发送和接收资金。

分叉还引入了性能升级和关键安全补丁。 在社区对区块链应用新的硬分叉后，门罗币的价值上涨了近 6.5%。 [15]

威胁行为者更新：LockBit 指控委托进行 DDoS 攻击； 如果证明会开创一个新的先例

LockBit 运营商指责 Entrust 在 8 月 19 日开始发布被盗的 Entrust 数据后，对其 Tor 泄漏站点进行了拒绝服务攻击。 [1]

EclecticIQ 分析师指出，没有证据表明 Entrust 或附属网络安全公司实施了这些攻击，并且评估其可能性很低。 分析人士认为，网络安全专家会知道 DDoS 攻击只会对网络犯罪活动产生有限且暂时的影响。 它不会阻止被盗数据的泄露。 从目前的案例中可以看出，LockBit 运营商“计划将 Entrust 的所有数据作为洪流上传，这将使其几乎不可能被删除。” [2] 分析师强调，勒索软件受害者或网络安全公司进行 DDoS 攻击（或任何其他形式的攻击行为）将引发前所未有的案例，并表明范式转变。

LockBit 运营商声称对 2022 年 6 月 18 日发生的针对数字安全公司 Entrust 的勒索软件攻击负责。 [3] 根据 OSINT 的说法，犯罪分子设定了 8 月 19 日支付赎金（800 万美元）的最后期限。 聊天记录显示，赎金降至 680 万美元。 在谈判失败后，该组织于 8 月 19 日开始在其 LockBit 勒索软件 Tor 博客上发布被盗数据。 [4]

发布后不久，该组织声称其 Tor 泄漏站点遭受了拒绝服务攻击。 该组织在用户代理字段中发布带有消息的 HTTP 日志，以删除 Entrust 的数据。 在报告时，LockBit 的博客镜像仍然无法访问。

关键基础设施和关键漏洞：CISA 已知已利用漏洞目录中添加了七个漏洞

8 月 18 日，美国网络安全和基础设施安全局 (CISA) 在其积极利用的漏洞列表中增加了 7 个漏洞 [16]. EclecticIQ 强烈建议按照供应商的说明修补漏洞，并将已知被利用漏洞目录纳入其补丁管理计划中以确定优先级。 添加了以下 CVE [17]：

• CVE-2017-15944 Palo Alto Networks PAN-OS 远程代码执行漏洞
• CVE-2022-21971 Microsoft Windows 运行时远程代码执行漏洞
• CVE-2022-26923 Microsoft Active Directory 域服务权限提升漏洞
• CVE-2022-2856 Google Chrome Intents 输入验证不足漏洞
• CVE-2022-32893 Apple iOS 和 macOS 越界写入漏洞
• CVE-2022-32894 Apple iOS 和 macOS 越界写入漏洞
• CVE-2022-22536 SAP 多产品 HTTP 请求走私漏洞

除 CVE-2017-15944 外，尚无有关如何利用该漏洞的详细信息。

关于 EclecticIQ 威胁研究

EclecticIQ 是威胁情报、狩猎和响应技术及服务的全球供应商。 EclecticIQ 威胁研究团队总部位于阿姆斯特丹，由来自欧洲和美国的专家组成，他们在工业和政府的网络安全和情报方面拥有数十年的经验。

我们很想听到您的声音。 请通过电子邮件发送给我们您的反馈 [email protected] 或者 填写 EclecticIQ 受众兴趣调查 推动我们对您的优先领域的研究。

结构化数据

在我们的公共 TAXII 集合中查找 Analyst Prompt 和早期版本，以便在您的安全堆栈中轻松使用。

TAXII v1 发现服务： https://cti.eclecticiq.com/taxii/discovery

请参考我们的 支持页面 有关如何访问提要的指导。

附录

1. vx-地下 [@vxunderground], “Lockbit：‘我们因为 Entrust 黑客攻击而受到 DDoS 攻击’ vx-underground：‘你怎么知道这是因为 Entrust 漏洞？’ Lockbit：https://t.co/HUO2hdTbwz，”Twitter，2022 年 8 月 21 日。 https://twitter.com/vxunderground/status/1561262483448512513 （2022 年 8 月 23 日访问）。
2. “LockBit 勒索软件指责 Entrust 对泄漏站点进行 DDoS 攻击，”BleepingComputer。 https://www.bleepingcomputer.com/news/security/lockbit-ransomware-blames-entrust-for-ddos-attacks-on-leak-sites/ （2022 年 8 月 23 日访问）。
3. “网络安全供应商 Entrust 告诉客户数据在 6 月的网络攻击中被盗，”TechCrunch。 https://social.techcrunch.com/2022/07/27/entrust-data-stolen-june-cyberattack/ （2022 年 8 月 23 日访问）。
4. 苏菲安·塔希里 [@S0ufi4n3], “#Entrust vs #Lockbit 是一个非常奇怪的案例。从聊天日志时间戳来看，谈判是在两个月前（29/06）开始的，出于某种原因，在提供 100 万美元（节省时间？）之后，Entrust 停止了谈判13/07。 仅供参考：最初的赎金为 800 万美元，然后降至 680 万美元。 https://t.co/vJMSW5oxvW，”Twitter，2022 年 8 月 22 日。 https://twitter.com/S0ufi4n3/status/1561644045604192256 （2022 年 8 月 23 日访问）。
5. “门罗币硬分叉让黑客最喜欢的硬币更加私密，”BleepingComputer。 https://www.bleepingcomputer.com/news/security/monero-hard-fork-makes-hackers-favorite-coin-even-more-private/ （2022 年 8 月 23 日访问）。
6. “比特币是犯罪分子的‘最爱’，用于 95% 的加密犯罪：取证，”CCN.com，2019 年 4 月 25 日。 https://www.ccn.com/bitcoin-is-criminals-favorite-claims-blockchain-forensic-used-in-95-of-crypto-crimes/ （2022 年 8 月 21 日访问）。
7. M. Sigalos，“为什么一些网络犯罪分子放弃比特币，转而使用一种称为门罗币的加密货币，”CNBC。 https://www.cnbc.com/2021/06/13/what-is-monero-new-cryptocurrency-of-choice-for-cyber-criminals.html （2022 年 8 月 21 日访问）。
8. F. Times，“Monero 成为网络犯罪分子的首选加密货币”，Ars Technica，2021 年 6 月 22 日。 https://arstechnica.com/information-technology/2021/06/monero-emerges-as-crypto-of-choice-for-cybercriminals/ （2022 年 8 月 23 日访问）。
9. “勒索软件参与者越来越多地要求用门罗币付款，”SearchSecurity。 https://www.techtarget.com/searchsecurity/news/252512142/Ransomware-actors-increasingly-demand-payment-in-Monero （2022 年 8 月 23 日访问）。
10. M. Cavicchioli，“韩国的新法规禁止门罗币交易”，The Cryptonomist，2021 年 2 月 23 日。 https://en.cryptonomist.ch/2021/02/23/south-koreas-new-regulation-bans-monero-trading/ （2022 年 8 月 22 日访问）。
11. C. Shumba，“根据 Reddit 上分享的一封电子邮件，加密货币交易所 Kraken 将在英国下架隐私币门罗币，”Markets Insider。 https://markets.businessinsider.com/news/currencies/monero-kraken-crypto-exchange-delist-privacy-coin-uk-fca-regulation-2021-11 （2022 年 8 月 23 日访问）。
12. “Coinbase 解释了为什么它不会列出 Monero (XMR)，”Invezz，2020 年 7 月 27 日。 https://invezz.com/news/2020/07/27/coinbase-explains-why-it-wont-list-monero-xmr/ （2022 年 8 月 23 日访问）。
13. “美国财政部制裁臭名昭著的虚拟货币混合器 Tornado Cash”，美国财政部。 https://home.treasury.gov/news/press-releases/jy0916 （2022 年 8 月 23 日访问）。
14. Namcios，“现在当局已经批准了 Tornado 现金，接下来是比特币吗？”，比特币杂志 – 比特币新闻、文章和专家见解。 https://bitcoinmagazine.com/technical/is-bitcoin-next-after-tornado-cash （2022 年 8 月 22 日访问）。
15. E. Dunne，“在最近的硬分叉之后，门罗币比以往任何时候都飙升”，InsideBitcoins.com，2022 年 8 月 21 日。 https://insidebitcoins.com/news/monero-is-soaring-higher-than-ever-after-its-recent-hard-fork （2022 年 8 月 22 日访问）。
16. “CISA 在目录中添加了七个已知的被利用漏洞 | 中央情报局。” https://www.cisa.gov/uscert/ncas/current-activity/2022/08/18/cisa-adds-seven-known-exploited-vulnerabilities-catalog （2022 年 8 月 23 日访问）。
17. “已知的被利用漏洞目录 | 中央情报局。” https://www.cisa.gov/known-exploited-vulnerabilities-catalog （2022 年 8 月 23 日访问）。

*** 这是一个安全博客网络联合博客，来自 EclecticIQ 博客 作者： EclecticIQ 威胁研究团队. 阅读原文： https://blog.eclecticiq.com/the-analyst-prompt-16-moneros-hard-fork-and-its-implication-to-cybercrimes