區塊鏈 C2 架構「EtherHide」威脅：新型態惡意程式攻擊手法與防禦建議

隨著 Web3 與智能合約技術快速普及，攻擊者已將區塊鏈平台納入命令與控制（C2）通道，形成難以追蹤且高度隱蔽的攻擊向量。TWCERT/CC 於 2025‑11‑27 發布的報告指出，名為 EtherHide 的技術正成為駭客新寵，透過將惡意指令或載荷地址寫入智能合約，藉由區塊鏈的去中心化、不可篡改與匿名性，完成 C2 的「隱形」傳遞。(TWCERT/CC)

1. EtherHide 技術概述

• 攻擊者將指令或載荷下載位置存於 ERC‑20/ETH 智能合約之某個資料欄位（如 mapping 或 bytes）。
• 受感染主機在初始感染階段或後續指令階段，透過 Web3 RPC 或本地節點查詢合約，取得最新指令。
• 因合約內容不可改寫，且交易在多個節點驗證，傳輸過程難以被單一防火牆或 IDS/IPS 阻擋。
• 合約地址不易被追蹤，且可由多個攻擊者共用，形成「共用 C2」模式。

2. 常見攻擊流程（以 WordPress 為例）

1. 攻擊者利用 CVE‑2025‑xxxx 等公開漏洞入侵 WordPress，取得管理權。
2. 在網站前端植入惡意 JavaScript，並加入「ClearFake」偽裝更新提示。  // (ClearFake 由 TWCERT/CC 報告說明)
3. 使用者點擊更新，惡意腳本即啟動，發送 RPC 請求至 BSC 或 Ethereum 上的 EtherHide 合約。
4. 合約回傳載荷地址（如 IPFS、S3 或自訂伺服器），腳本即下載並執行下一階段惡意程式。
5. 後續行為可包含資料外洩、勒索、挖礦或僵屍網路加入。

3. MITRE ATT&CK 對應

• T1190 – Exploit Public-Facing Application（WordPress 漏洞利用）
• T1204 – User Execution（使用者點擊偽裝更新）
• T1071 – Application Layer Protocol（C2 以 RPC / Web3 為通道）
• T1045 – Process Injection（載荷執行）
• T1105 – Remote File Copy（透過合約取得載荷）
• T1041 – Exfiltration Over Command and Control Channel（資料外洩至合約）

4. 防禦建議

• 網站安全加固：定期掃描 WordPress 核心、主題與插件漏洞；使用安全插件（如 Wordfence、Sucuri）並啟用 WAF；將管理區域 IP 限制或雙因素驗證。
• 前端腳本審查：部署 CSP（Content Security Policy）限制 JavaScript 執行來源，禁止未知域名載入；使用 Subresource Integrity（SRI）檢查外部腳本。
• 區塊鏈請求監控：在網路層面偵測對 BSC/Ethereum RPC 節點（如 https://bsc-dataseed.binance.org/）的連線；針對異常頻率或未知來源封鎖；可將 RPC 請求記錄至 SIEM，並加入威脅情報。
• 終端防禦：部署 EDR（Endpoint Detection & Response），監測未知進程下載、執行與網路連線；設定防火牆規則限制 outbound 至區塊鏈節點的連線。
• 威脅情報共享：加入 CERT/TW、CERT/CC 等組織，定期更新已知 EtherHide 合約地址與載荷指標；將指標輸入企業內部 IOC 或 MITRE ATT&CK 觀測表。
• 安全意識訓練：教育使用者辨識偽裝更新訊息，避免點擊不明連結；實施「最小權限」原則，限制網站帳號權限。

5. 結語

EtherHide 透過區塊鏈的分散式特性，成功突破傳統域名封鎖與 IP 阻擋，為攻擊者提供高度隱蔽且難以追蹤的 C2 通道。企業與安全團隊必須將區塊鏈請求納入網路監控範圍，並結合網站安全、前端腳本審查與終端防禦，才能有效遏制此新型態攻擊。

參考資料與原文來源

• TWCERT/CC. “新興區塊鏈 C2 威脅浮現，「EtherHide」成駭客新寵.” 2025‑11‑27. https://www.twcert.org.tw/tw/cp-104-10535-99661-1.html
• DreamJTech. “駭客新招！『EtherHide』惡用區塊鏈，打造隱形 C2 通道.” 2025‑11‑27. https://www.dreamjtech.com/7463/
• Instagram. “隨著 Web3 與智能合約技術日益成熟，資安威脅也呈現新型態.” 2023‑10. https://www.instagram.com/p/DRjdNlZlEsE/

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。