-
慢雾分析:门罗币钱包之“狸猫换太子”
- 时间:2024-01-17 来源:333体育官网平台 人气:
本文摘要:昨日,快雾安全性团队监测到 Monero 官方社区和官方 GitHub 经常出现安全类 issue 警告,据用户对系统从 Monero 门罗币官网 getmonero.org iTunes的 CLI 二进制钱包文件和长时间 hash 不完全一致,疑为被蓄意更换!而且用户被盗大约价值 7000 美金的门罗币。
昨日,快雾安全性团队监测到 Monero 官方社区和官方 GitHub 经常出现安全类 issue 警告,据用户对系统从 Monero 门罗币官网 getmonero.org iTunes的 CLI 二进制钱包文件和长时间 hash 不完全一致,疑为被蓄意更换!而且用户被盗大约价值 7000 美金的门罗币。快雾安全性团队第一时间公布预警并展开了涉及安全性分析与本源:在 Reddit 上的对系统地址:https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/GitHub 上的辩论地址:https://github.com/monero-project/monero/issues/6151Linux 二进制文件:用户 nikitasius 获取了需要检索到的蓄意二进制文件信息:https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/此二进制文件是有以下属性的 ELF 文件:MD5:d267be7efc3f2c4dde8e90b9b489ed2aSHA-1:394bde8bb86d75eaeee69e00d96d8daf70df4b0aSHA-256:ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31File type:ELFMagic: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), dynamically linked (uses shared libs), for GNU/Linux 3.2.0, from 'x)', not strippedFile size: 27.63 MB (28967688 bytes)对比合法文件和此 ELF 文件时,我们找到文件大小有所不同,并加到了一些新功能代码,如:cryptonote :: simple_wallet :: send_seed在关上或创立新的钱包后不会立刻调用此功能,展开如下图右图的操作者:私钥将不会被发送到:node.hashmonero.comcryptonote :: simple_wallet :: send_to_cc该功能不会将数据发送到 CC 或 C2(命令掌控服务器)服务器,从而盗取用户资产。用于向该 C2 服务器发送 HTTP POST 催促,将资金涉及脆弱信息发送到以下蓄意 C2:node.xmrsupport.co45.9.148.65从分析来看,或许并没创立任何其他文件或文件夹,只是盗取私钥并企图从钱包中盗取资产。Windows 二进制文件:C2 服务器45.9.148.65 还具备以下属性:MD5: 72417ab40b8ed359a37b72ac8d399bd7SHA-1: 6bd94803b3487ae1997238614c6c81a0f18bcbb0SHA-256: 963c1dfc86ff0e40cee176986ef9f2ce24fda53936c16f226c7387e1a3d67f74File type: Win32 EXEMagic: PE32+ executable for MS Windows (console) Mono/.Net assemblyFile size: 65.14 MB (68302960 bytes)Windows 版实质上与 Linux 版有完全相同的功能: 盗取私钥和钱包资产。
只是函数名称有所不同而已,例如 _ZN10cryptonote13simple_wallet9send_seedERKN4epee15wipeable_stringE如果你有用于防火墙或代理(硬件或软件),请求检验否有网络流量与以下域名、IP再次发生相连:node.hashmonero.comnode.xmrsupport.co45.9.148.6591.210.104.245移除此文中所列的所有二进制文件;检验 Monero 安装程序或安装程序文件的 hash 值。针对初学者:https://src.getmonero.org/resources/user-guides/verification-windows-beginner.html高级用法:https://src.getmonero.org/resources/user-guides/verification-allos-advanced.html留意:哈希列表坐落于:https://web.getmonero.org/downloads/hashes.txt什么是哈希?哈希是唯一的标识符。这可以是一个文件、一个单词等,最差用于 SHA256 哈希展开文件检查。
你还可以用于以下 Yara 规则来检测蓄意或不受病毒感染的二进制文件:Monero_Compromise.yariTunes Yara(和文档):https://github.com/VirusTotal/yara建议加装杀毒软件,并尽量用于防火墙(免费或收费的都行);如果早已在用于防病毒软件:用于 Monero(或其他矿工)时,网卓新闻网,最差不要在防病毒软件中回避特定的文件夹,如果必须,请求在检验 hash 值之后再行用于;重置你的种子或帐户;如何重置帐户:https://web.getmonero.org/resources/user-guides/restore_account.html用于助记词完全恢复钱包:https://monero.stackexchange.com/questions/10/how-can-i-recover-a-wallet-using-the-mnemonic-seed监控你的帐户/钱包,证实没蓄意交易。如果有,随时联系门罗团队以提供反对。请求移除并iTunes近期版本:https://web.getmonero.org/downloads/门罗官方团队声明:Warning: The binaries of the CLI wallet were compromised for a short time:https://web.getmonero.org/2019/11/19/warning-compromised-binaries.html快雾团队警告:针对供应链反击,鉴于研发、运维人员安全意识严重不足等问题,快雾安全性团队很幸之前早已意识到了这类反击的可能性,Monero 不是第一个受到反击的加密货币或钱包,也不有可能是最后一个受到反击的加密货币或钱包。
所以请求官方人员留意自身账户安全性,请求用于强劲密码,并且一定尽量用于 MFA(或2FA),时刻维持安全意识;针对各类应用程序有能用新版本改版时留意检验 hash 值。有问题可以第一时间邮件联系快雾安全性团队 [emailprotected]所附:Domain Name: xmrsupport.coRegistry Domain ID: D9E3AC179ACA44FE4B81F274517F8F47E-NSRRegistrar WHOIS Server: whois.opensrs.netRegistrar URL: Updated Date: 2019-11-14T16:02:52ZCreation Date: 2019-11-14T16:02:51ZIP HISTORY for hashmonero.com45.9.148.65 from 2019-11-15 to 2019-11-1791.210.104.245 from 2019-11-19 to 2019-11-19感激nikitasius 获取的样本binaryFate from:https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/bartblaze from:https://bartblaze.blogspot.com/2019/11/monero-project-compromised.。
本文关键词:慢雾,分析,门罗,币,钱包,之,“,狸猫换太子,”,333体育官网平台
本文来源:333体育官网平台-www.theshadesofgrace.com