8BTCCI: 11261.76 +0.34% 8BTCVI: 5349.94 +2.61% 24H成交额: ¥4025.15亿 -0.66% 总市值: ¥15918.90亿 +0.24%
DragonEX交易所真相独家披露,安全团队还原被盗全过程(续)

DragonEX交易所真相独家披露,安全团队还原被盗全过程(续)

降维安全实验室 发布在 海盗号 23140

接上篇关于DragonEx龙网交易所被黑的事件分析,降维安全实验室对WbBot二进制样本进行了更深入的逆向分析,得到了关于此后门的更多技术细节,下面和各位朋友分享。

 

WbBot后门行为分析

 

loader后门启动参数为PackageValidate

所以中招机器上能看到进程项/Applications/WbBot.app/Contents/Resources/.loader PackageValidate. 下图是后门检测参数的关键代码:

后门所连接的C&C服务器为www.wb-bot.org.

下图是连接C&C服务器的关键代码:

通过whois查询得知,这个C&C服务器(同时也是个逼真的钓鱼网站)注册于2018年10月份,并煞费苦心的经营了N个月。下图是google的搜索结果: 下图为钓鱼网站whois的RAW查询记录: 下图是钓鱼网站的SSL证书生效时间:

值得注意的是这个loader本身只是个下载器,随后会下载具备全功能的大马到内存,并解密释放至路径/var/pkglibcert. 因钓鱼网站目前已经下线,所以暂时无法获取此大马进一步行为分析。

下图是释放后门的部分代码:

另外,如下图所示的是上述解密过程涉及的内置RC4密钥,以及之前连接C&C服务器过程涉及的异或密钥:

小结

从创建钓鱼网站,申请SSL证书,下载加密载荷等一系列行为可以看出,此事件是黑客团伙蓄谋已久的APT攻击行动,不排除此黑客团伙在未来针对其他交易所采取类似的攻击,希望各大数字资产交易所引以为鉴,提高警惕。

 

(来源:降维安全实验室)

文章标签: 交易所 安全
评论
登录 账号发表你的看法,还没有账号?立即免费 注册