Чуть ранее этим вечером мне попался твит, в котором утверждалось, что Monero подверглась взлому и реальный двоичный файл был заменён вредоносным: Пост на Reddit: https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/ Публикация на Github: https://github.com/monero-project/monero/issues/6151 Двоичный файл Linux Благодаря пользователю nikitasius мне удалось извлечь вредоносный файл: https://github.com/monero-project/monero/issues/6151#issuecomment-555511805 Этот двоичный файл является файлом ELF и обладает следующими свойствами: MD5: d267be7efc3f2c4dde8e90b9b489ed2a SHA-1: 394bde8bb86d75eaeee69e00d96d8daf70df4b0a SHA-256: 7ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31 Тип файла: ELF Свойства: ELF 64-битный совместно используемый объект LSB, x86-64, версия 1 (GNU/Linux), динамически связанный (использует общие библиотеки), для GNU/Linux 3.2.0, от 'x)', с отладочной информацией Размер файла: 27,63 Мб (28967688 байт) Отчёт VirusTotal: https://www.virustotal.com/gui/file...2fbfe9e085712657d2cfa5524f2c8caccca31/summary При сравнении легитимного файла и файла ELF мы заметили, что их размер отличается, а также, что было добавлено несколько новых функций: cryptonote::simple_wallet::send_seed Эта функция вызывалась непосредственно после открытия или создания нового кошелька, что показано на рисунках 1 и 2 ниже. Мнемоническая фраза отправлялась узлу node.hashmonero[.]com. cryptonote::simple_wallet::send_to_cc Как вы могли догадаться, эта функция отправляла данные с сервера CC или C2 (сервер командования и управления), что позволяло воровать средства. Отправка средств на C2 производилась запросом HTTP POST, который передавался на следующие серверы C2: node.xmrsupport[.]co 45.9.148[.]65 Насколько я понимаю, дополнительные файлы или папки не создавались — у вас просто воровали мнемоническую фразу и пытались скрытно вывести средства с вашего кошелька. Двоичный файл Windows На сервере C2 45.9.148[.]65 также имелся двоичный файл для Windows со следующими свойствами: MD5: 72417ab40b8ed359a37b72ac8d399bd7 SHA-1: 6bd94803b3487ae1997238614c6c81a0f18bcbb0 SHA-256: 963c1dfc86ff0e40cee176986ef9f2ce24fda53936c16f226c7387e1a3d67f74 Тип файла: Win32 EXE Свойства: PE32+ исполняемый для MS Windows (консоль), сборка Mono/.Net Размер файла: 65,14 Мб (68302960 байт) Отчёт VirusTotal: https://www.virustotal.com/gui/file/963c1dfc86ff0e40cee176986ef9f2ce24fda53936c16f226c7387e1a3d67f74/summary Версия файла для Windows делала практически всё то же, что и версия для Linux — она использовалась для кражи вашей мнемонической фразы и средств, но функции назывались иначе. Например: _ZN10cryptonote13simple_wallet9send_seedERKN4epee15wipeable_stringE Примечание. Это не означает, что официальный двоичный файл Windows также был взломан — это означает, что где-то также существовал взломанный файл для Windows. Только команда Monero может подтвердить, были или нет взломаны другие двоичные файлы (помимо файла для Linux, о котором говорится в этом блоге). Обнаружение Если вы используете Firewall или прокси-сервер, аппаратный или программный, проверьте свой трафик на предмет соединения со следующими узлами: node.hashmonero[.]com node.xmrsupport[.]co 45.9.148[.]65 91.210.104[.]245 Удалите все двоичные файлы, указанные в этом посте. Проверьте хеши вашего установочного файла Monero. Соответствующее руководство можно найти здесь: Для новичков: https://src.getmonero.org/resources/user-guides/verification-windows-beginner.html Продвинутое: https://src.getmonero.org/resources/user-guides/verification-allos-advanced.html Примечание: список хешей доступен по этой ссылке: https://web.getmonero.org/downloads/hashes.txt. Примечание. Что такое хеш? Хеш — это уникальный идентификатор. Он может использоваться для файла, слова... Для проверки целостности файлов предпочтительнее использовать хеши SHA256, так как это безопаснее. Для обнаружения вредоносных или взломанных файлов также можно использовать следующее правило Yara: Monero_Compromise.yar. Скачать Yara (и соответствующую документацию) можно здесь: https://github.com/VirusTotal/yara А вот ещё результаты анализа, проведённого SerHack: https://serhack.me/articles/cli-binaries-compromised-monero-analysis/ Рекомендации Установите антивирус и по возможности пользуйтесь Firewall (бесплатным или платным — не так важно). Если вы уже используете антивирус, то хорошо бы не исключать определённую папку, когда вы пользуетесь Monero (или другими майнерами), и если так необходимо, то это стоит делать только после проверки хешей. Восстановите вашу мнемоническую фразу или аккаунт: как восстановить свой аккаунт: https://web.getmonero.org/resources/user-guides/restore_account.html; как восстановить свой кошелёк, используя мнемоническую фразу: https://monero.stackexchange.com/questions/10/how-can-i-recover-a-wallet-using-the-mnemonic-seed. В течение нескольких дней после этого следите за своим аккаунтом и кошельком на предмет наличия мошеннических транзакций. Свяжитесь с командой Monero, чтобы получить помощь. Примечание. Особенно рекомендуется сделать всё это, если вы использовали или устанавливали новые двоичные файлы в этот временной промежуток: понедельник 18 ноября, 1:30 AM UTC и 5:30 PM UTC. Самую последнюю версию можно загрузить по этой ссылке: https://web.getmonero.org/downloads/. Заявление команды Monero Командой Monero было выпущено следующее заявление: Внимание! Двоичные файлы CLI-кошелька в течение короткого времени были взломаны: https://web.getmonero.org/2019/11/19/warning-compromised-binaries.html Я ожидаю, что это заявление будет обновлено в течение ближайших дней, так что стоит следить и за ним. Заключение Monero — не первая и, вероятно, не последняя криптовалюта (а в данном случае её сайт и двоичные файлы), которая подвергается взлому. Следуйте рекомендациям, которые приводятся в данном посте, чтобы обезопасить себя, и всегда пристально следите за своими онлайн аккаунтами, особенно, если речь идёт о ваших деньгах. Используйте сложные пароли, используйте MFA (или 2FA), когда это возможно, и всегда будьте бдительны. Проверяйте хеши при выходе каждой новой версии. Примечание. Этот пост не является полным анализом. Скорее, это краткий отчёт по фактам, содержащий некоторые рекомендации. Вопросы и комментарии? Буду рад получить! Источник: Monero download site and binaries compromised Перевод: Mr. Pickles (@v1docq47) Редактирование: Agent LvM (@LvMi4) Коррекция: Kukima (@Kukima)
