区块链网站|NFTS 门罗币(XMR) 慢雾分析:梦露硬币钱包的“狸猫换太子”

慢雾分析:梦露硬币钱包的“狸猫换太子”

广告位

慢雾分析:门罗币钱包之“狸猫换太子”

声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。

边肖:记得要集中注意力。

投资区块链,戳:火星财经App下载

来源:慢雾科技

昨天,慢雾安全团队检测到Monero官方社区和GitHub官方有安全问题警报。据用户反馈,从Monero Monroe Coin getmonero.org官网下载的CLI二进制钱包文件与正常hash不一致,疑似被恶意替换!用户被偷了价值约7000美元的梦露硬币。

慢雾安全团队第一时间发出预警,并进行相关安全分析和溯源:

Reddit上的反馈地址:

https://www . Reddit . com/r/Monero/comments/dyfozs/security _ warning _ CLI _ binaries _ available _ on/

GitHub上的讨论地址:

https://github.com/monero-project/monero/issues/6151

Linux二进制文件:

用户nikitasius提供了可被检索的恶意二进制文件信息:

https://www . Reddit . com/r/Monero/comments/dyfozs/security _ warning _ CLI _ binaries _ available _ on/

该二进制文件是一个ELF文件,具有以下属性:

MD5:d 267 be 7 EFC 3 f 2 C4 DDE 8 e 90 b 9 b 489 ed 2 Asha-1:394 BD E8 bb 86d 75 ea eee 69 e 00d 96d 8 daf 70 df 4 b 0 Asha-256:ab 9 afbc 5 f 9 a 1 df 687558d 570192 FB Fe 9 e 085712657 D2 CFA 5524 F2 c 8 CAC CCA 31文件类型:ELFMagic: ELF 64位LSB共享对象、x86-66在对比合法文件和这个ELF文件时,我们发现文件大小不同,并且增加了一些新的功能代码,比如:

crypto note:simple _ wallet:send _ seed会在打开或新建一个钱包后立即调用该函数,并执行如下图所示的操作:

私钥将被发送到:node.hashmonero.com

crypto note:simple _ wallet:send _ to _ CC该函数会将数据发送到CC或C2(命令控制服务器)服务器,从而窃取用户资产。

向此C2服务器发送HTTP POST请求,将与资金相关的敏感信息发送给以下恶意C2:

node . XML support . co 45 . 9 . 148 . 65从分析来看,似乎没有创建任何其他文件或文件夹,只是窃取了私钥,试图从钱包中窃取资产。

Windows二进制文件:

45.9.148.65 C2服务器还具有以下属性:

MD5:72417 ab 40 b 8 ed 359 a 37 b 72 AC 8d 399 BD 7 sha-1:6bd 94803 b 3487 AE 1997238614 c 6 c 81 A0 f 18 BC bb 0 sha-256:963 C1 DFC 86 ff 0 e 40 ce 176986 ef 9 F2 ce 24 FDA 53936 c 16 f 226 c 7387 E1 a 3d 67 f 74文件类型:Win32 Exegic: Pe32可执行文件NET汇编文件大小:65.14 MB (68302960字节)Windows版本其实和Linux版本的功能一样:窃取私钥和钱包资产。

只是函数名不同,比如_ Zn 10 cryptonote 13 simple _ wallet 9 send _ seederkn 4 epee 15 ewipeable _ stripe。

如果您使用防火墙或代理(硬件或软件),请验证是否有任何网络流量与以下域名和IP连接:

Node.hashmonero.com node . XML support . co 45 . 9 . 148 . 6591 . 210 . 104 . 245删除本文列出的所有二进制文件;

验证Monero安装程序或安装程序文件的哈希值。

对于初学者:https://src . getmonero . org/resources/user-guides/verification-windows-beginner . html

高级用法:https://src . getmonero . org/resources/user-guides/verification-allos-advanced . html

注意:哈希表位于:https://web.getmonero.org/downloads/hashes.txt.

哈希是什么?哈希是唯一的标识符。这可以是一个文件、一个单词等。最好使用SHA256哈希进行文件检查。

您还可以使用以下Yara规则来检测恶意或受感染的二进制文件:

Monero_Compromise.yar

下载亚拉(和文档):https://github.com/VirusTotal/yara

建议

安装杀毒软件,尽可能使用防火墙(免费或付费);

如果你已经在使用杀毒软件:使用Monero(或其他矿工)时,最好不要将特定文件夹排除在杀毒软件之外。如有必要,请在使用前验证哈希值;

重置您的种子或帐户;

如何重置您的帐户:account.html https://web.getmonero.org/resources/user-guides/restore

使用助记符找回钱包:https://monero . stack exchange . com/questions/10/how-can-I-recover-a-wallet-using-the-mnemonic-seed

监控你的账户/钱包,确保没有恶意交易。如果是这样,请随时联系Monroe团队寻求支持。

请删除并下载最新版本:https://web.getmonero.org/downloads/

门罗团队的官方声明:

警告:CLI wallet的二进制文件在短时间内遭到破坏:

https://web . getmonero . org/2019/11/19/warning-compromised-binaries . html

慢雾队提醒:

对于供应链攻击,鉴于开发和运营人员的安全意识不足,慢雾安全团队很早就预见到了这种攻击的可能性。Monero不是第一个被攻击的加密货币或钱包,也不可能是最后一个被攻击的加密货币或钱包。

所以官方要注意自己账号的安全性,请使用强密码,并确保尽可能使用MFA(或2FA),时刻保持安全感;当各种应用程序有新版本时,请注意验证哈希值。

如果您有任何问题,请通过电子邮件联系慢雾安全团队team@slowmist.com。

附:

域名:xmrsupport.coRegistry域名ID:d 9 E3 AC 179 ACA 44 Fe 4b 81 f 274517 F8 f 47 e-nsr registrar WHOIS服务器:WHOIS . open SRS . net注册商URL: www.opensrs. Com更新日期:2019-11-14T16: 02: 52Z创建日期:2019-11-14t 16:02:51 Hashmonero.com 45.9.148.65邮政编码历史从2019-11.15

nikitasius提供的样本

binaryFate来自:

https://www . Reddit . com/r/Monero/comments/dyfozs/security _ warning _ CLI _ binaries _ available _ on/

bartblaze来自:

https://Bart blaze . blogspot . com/2019/11/monero-project-compromised . html

声明:本文为火星作者作品,不代表火星财经官方立场。提示:投资有风险,入市需谨慎。这些信息不会被用作投资和财务建议。

广告位
本文来自网络,不代表区块链网站|NFTS立场,转载请注明出处:https://www.qklwz.com/jzb/xmr/20124.html

作者: 币圈菜鸡

上一篇
下一篇

发表评论

您的电子邮箱地址不会被公开。

返回顶部