8BTCCI: 15156.59 +10.75% 8BTCVI: 8091.69 +8.69% 24H成交额: ¥5809.96亿 +18.64% 总市值: ¥19885.85亿 +8.92%
DragonEX交易所真相独家披露,安全团队还原被盗全过程(续)

DragonEX交易所真相独家披露,安全团队还原被盗全过程(续)

降维安全实验室 发布在 海盗号 21642

接上篇关于DragonEx龙网交易所被黑的事件分析,降维安全实验室对WbBot二进制样本进行了更深入的逆向分析,得到了关于此后门的更多技术细节,下面和各位朋友分享。

 

WbBot后门行为分析


 

loader后门启动参数为PackageValidate

所以中招机器上能看到进程项/Applications/WbBot.app/Contents/Resources/.loader PackageValidate.
下图是后门检测参数的关键代码:

后门所连接的C&C服务器为www.wb-bot.org.

下图是连接C&C服务器的关键代码:

通过whois查询得知,这个C&C服务器(同时也是个逼真的钓鱼网站)注册于2018年10月份,并煞费苦心的经营了N个月。下图是google的搜索结果:

下图为钓鱼网站whois的RAW查询记录:

下图是钓鱼网站的SSL证书生效时间:

值得注意的是这个loader本身只是个下载器,随后会下载具备全功能的大马到内存,并解密释放至路径/var/pkglibcert.
因钓鱼网站目前已经下线,所以暂时无法获取此大马进一步行为分析。

下图是释放后门的部分代码:

另外,如下图所示的是上述解密过程涉及的内置RC4密钥,以及之前连接C&C服务器过程涉及的异或密钥:

小结


从创建钓鱼网站,申请SSL证书,下载加密载荷等一系列行为可以看出,此事件是黑客团伙蓄谋已久的APT攻击行动,不排除此黑客团伙在未来针对其他交易所采取类似的攻击,希望各大数字资产交易所引以为鉴,提高警惕。

 

(来源:降维安全实验室)

文章标签: 交易所 安全
评论
登录 账号发表你的看法,还没有账号?立即免费 注册