DragonEX交易所真相独家披露,降维安全实验室还原被盗全过程(续)

96
降维安全实验室
2019.03.29 16:23 字数 479

接上篇关于DragonEx龙网交易所被黑的事件分析,降维安全实验室(johnwick.io)对WbBot二进制样本进行了更深入的逆向分析,得到了关于此后门的更多技术细节,下面和各位朋友分享。

WbBot后门行为分析

loader后门启动参数为PackageValidate
所以中招机器上能看到进程项/Applications/WbBot.app/Contents/Resources/.loader PackageValidate.
下图是后门检测参数的关键代码:

在这里插入图片描述

后门所连接的C&C服务器为www.wb-bot.org.

下图是连接C&C服务器的关键代码:


在这里插入图片描述

通过whois查询得知,这个C&C服务器(同时也是个逼真的钓鱼网站)注册于2018年10月份,并煞费苦心的经营了N个月。下图是google的搜索结果:


在这里插入图片描述

下图为钓鱼网站whois的RAW查询记录:


在这里插入图片描述

下图是钓鱼网站的SSL证书生效时间:


在这里插入图片描述

值得注意的是这个loader本身只是个下载器,随后会下载具备全功能的大马到内存,并解密释放至路径/var/pkglibcert.
因钓鱼网站目前已经下线,所以暂时无法获取此大马进一步行为分析。

下图是释放后门的部分代码:


在这里插入图片描述

另外,如下图所示的是上述解密过程涉及的内置RC4密钥,以及之前连接C&C服务器过程涉及的异或密钥:


在这里插入图片描述

小结

从创建钓鱼网站,申请SSL证书,下载加密载荷等一系列行为可以看出,此事件是黑客团伙蓄谋已久的APT攻击行动,不排除此黑客团伙在未来针对其他交易所采取类似的攻击,希望各大数字资产交易所引以为鉴,提高警惕。

日记本
Gupao