<< Volver atrás

Tesis:

Techniques and Tools for Bitcoin Cybercrime Intelligence

  • Autor: GÓMEZ MONTES, Gibran Alberto

  • Título: Techniques and Tools for Bitcoin Cybercrime Intelligence

  • Fecha: 2025

  • Materia:

  • Escuela: E.T.S DE INGENIEROS INFORMÁTICOS

  • Departamentos: SIN DEPARTAMENTO DEFINIDO

  • Acceso electrónico: https://oa.upm.es/86778/

  • Director/a 1º: CABALLERO BAYERRI, Juan

  • Resumen: Bitcoin is a decentralized network with pseudo-anonymous and immutable transactions, thus very attractive for cybercrime. For instance, it is abused to receive payments from victims and by malware developers for building their Command and Control (C&C) infrastructure. This dissertation presents novel techniques and tools for addressing three problems related to Bitcoin cybercrime: cybercrime attribution, estimating cybercriminal revenue, and automating the identification and classification of cryptocurrency addresses. First, we present back-and-forth exploration, a novel Bitcoin transaction tracing technique to identify cybercrime financial relationships. It provides two key contributions. First, it explores both forward and backward, enabling the discovery of relationships that cannot be found by only exploring forward. Second, it prevents exploration explosion by combining a tag database with a novel machine learning classifier that identifies exchange addresses. We implement back-and-forth exploration in WatchYourBack, an open-source Bitcoin analysis platform. We evaluate WatchYourBack on 30 malware families. We find new attribution points missed by forward-only explorations, uncover a wealth of services used by the malware, and identify previously unknown relationships between cybercriminals. Second, we perform the first systematic comparison of Bitcoin revenue estimation methodologies. We implement 15 estimation methodologies in WatchYourBack and use them to quantify the impact of the methodology steps. We show that some estimation methodologies introduce massive overestimation, and propose two more accurate revenue estimations. We collect 30,424 cybercrime payment addresses and use them to compare the financial impact of 6 abuse types (e.g., ransomware, sextortion) and 141 cybercriminal groups. For the first time, we quantify the impact of address coverage on estimations by proposing two techniques to achieve high coverage on the payment addresses of the DeadBolt ransomware. Our expanded coverage enables us to estimate DeadBolts revenue at $2.47M, an estimation 39 times higher than the one resulting from using two Internet scan engines for discovering DeadBolts addresses. Third, we propose techniques for address identification and classification. For address identification we develop GoodFATR, a platform for collecting threat reports, extracting indicators using multiple tools, and comparing their accuracy using a novel majority voting methodology that needs no ground truth. We use our methodology to evaluate iocsearcher, GoodFATRs IOC extraction tool, against 7 other tools. The evaluation shows that iocsearcher is most accurate for extracting 11 of 13 indicator types. For address classification, we design a novel unsupervised classifier that takes as input an abuse report written by a victim and leverages a large language model (LLM) to interpret the text, filter the report if it is spam, and assign it one of 19 abuse types otherwise. We collect 290K cryptocurrency abuse reports from two popular abuse reporting services, build ground truth for 20K reports, and use them to evaluate different designs for our classifier, achieving a precision of 0.92, a recall of 0.87, and an F1 score of 0.89. We analyze the challenge of pollution in abuse reporting services showing that spam may flood unattended services, that a handful of incorrectly reported benign addresses receive 60% of the deposited funds, and that abuse types reported by users are untrustworthy. Finally, we quantify that revenue estimated from blockchain transactions can be 29 times higher than losses reported by victims. RESUMEN Bitcoin es una red descentralizada con transacciones pseudoanónimas e inmutables, muy atractiva para la ciberdelincuencia. Por ejemplo, los atacantes la usan para recibir pagos de víctimas y para construir infraestructura de Comando y Control (C&C). Esta tesis presenta técnicas y herramientas novedosas para abordar tres problemas sobre la ciberdelincuencia en Bitcoin: atribución, estimación de los ingresos de los ciberdelincuentes y automatización de la identificación y clasificación de direcciones. Primero, presentamos la exploración back-and-forth, una novedosa técnica de rastreo de transacciones en Bitcoin que ofrece dos contribuciones clave. Primero, explora hacia delante y hacia atrás, permitiendo descubrir relaciones que no pueden encontrarse explorando sólo hacia delante. Segundo, evita la explosión de la exploración combinando una base de datos de etiquetas con un novedoso clasificador que identifica direcciones de exchanges de criptomonedas. Implementamos la exploración back-and-forth en WatchYourBack, una plataforma para el análisis de Bitcoin y la evaluamos en 30 familias de malware. Encontramos puntos de atribución omitidos por exploraciones solo hacia delante, decenas de servicios utilizados por el malware y relaciones entre ciberdelincuentes. Segundo, realizamos la primera comparación sistemática de metodologías de estimación de ingresos en Bitcoin. Implementamos 15 metodologías en WatchYourBack y las utilizamos para cuantificar el impacto de los diversos pasos metodológicos. Demostramos que algunas metodologías introducen una sobreestimación masiva y proponemos dos que producen estimaciones más precisas. Recopilamos 30.424 direcciones cibercriminales y las utilizamos para comparar el impacto financiero de 6 tipos de abusos (e.g., ransomware, sextortion) y 141 grupos criminales. Por primera vez, cuantificamos el impacto de la cobertura de direcciones en la estimación, proponiendo dos técnicas para expandir la cobertura del ransomware DeadBolt. Nuestra cobertura ampliada nos permite estimar los ingresos de DeadBolt en USD $2,47M, 39 veces más que la resultante al utilizar dos servicios de escaneado de Internet para descubrir direcciones de DeadBolt. En tercer lugar, proponemos técnicas de identificación y clasificación de direcciones. Para la tarea de identificación desarrollamos GoodFATR, una plataforma para recopilar informes sobre amenazas, extraer indicadores utilizando múltiples herramientas y comparar su precisión mediante una novedosa metodología de votación por mayoría que no necesita ground truth. Utilizamos nuestra metodología para evaluar iocsearcher, la herramienta de extracción de IOCs de GoodFATR, frente a otras 7 herramientas, mostrando que iocsearcher es la más precisa en 11 de 13 tipos de indicadores. Para la tarea de clasificación, diseñamos un novedoso clasificador no supervisado que, dado una denuncia de abuso escrita por una víctima, usa un modelo de lenguaje de gran tamaño (LLM) para interpretar el texto, filtrar la denuncia si es spam, y asignarla en caso contrario uno de 19 tipos de abuso. Recopilamos 290K informes de abuso de dos servicios, construimos ground truth para 20K informes y los utilizamos para evaluar diferentes diseños para nuestro clasificador basado en LLM, logrando una precisión de 0,92, una recuperación de 0,87 y una puntuación F1 de 0,89. Analizamos la polución en los servicios de denuncia de abusos mostrando que el spam puede inundar servicios desatendidos, que un puñado de direcciones benignas incorrectamente denunciadas reciben 60% de los fondos depositados, y que el tipo de abuso reportado por las víctimas no es confiable. Por último, cuantificamos que las estimaciones a partir de transacciones blockchain pueden ser 29 veces superiores que las pérdidas denunciadas por las víctimas.