Новости Сайт Monero и двоичные файлы взломаны. Анализ инцидента от Blaze's Security

Тема в разделе "Новости", создана пользователем Mr. Pickles, 4 дек 2019.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    788
    Симпатии:
    229
    Чуть ранее этим вечером мне попался твит, в котором утверждалось, что Monero подверглась взлому и реальный двоичный файл был заменён вредоносным:

    1.JPG
    Пост на Reddit:
    https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/

    Публикация на Github:
    https://github.com/monero-project/monero/issues/6151

    Двоичный файл Linux

    Благодаря пользователю nikitasius мне удалось извлечь вредоносный файл:

    https://github.com/monero-project/monero/issues/6151#issuecomment-555511805

    Этот двоичный файл является файлом ELF и обладает следующими свойствами:
    • MD5: d267be7efc3f2c4dde8e90b9b489ed2a
    • SHA-1: 394bde8bb86d75eaeee69e00d96d8daf70df4b0a
    • SHA-256: 7ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31
    • Тип файла: ELF
    • Свойства: ELF 64-битный совместно используемый объект LSB, x86-64, версия 1 (GNU/Linux), динамически связанный (использует общие библиотеки), для GNU/Linux 3.2.0, от 'x)', с отладочной информацией
    • Размер файла: 27,63 Мб (28967688 байт)
    • Отчёт VirusTotal: https://www.virustotal.com/gui/file...2fbfe9e085712657d2cfa5524f2c8caccca31/summary

    При сравнении легитимного файла и файла ELF мы заметили, что их размер отличается, а также, что было добавлено несколько новых функций:

    cryptonote::simple_wallet::send_seed

    Эта функция вызывалась непосредственно после открытия или создания нового кошелька, что показано на рисунках 1 и 2 ниже.

    2.PNG

    3.PNG

    Мнемоническая фраза отправлялась узлу node.hashmonero[.]com.

    cryptonote::simple_wallet::send_to_cc

    Как вы могли догадаться, эта функция отправляла данные с сервера CC или C2 (сервер командования и управления), что позволяло воровать средства.

    4.PNG

    Отправка средств на C2 производилась запросом HTTP POST, который передавался на следующие серверы C2:
    • node.xmrsupport[.]co
    • 45.9.148[.]65
    Насколько я понимаю, дополнительные файлы или папки не создавались — у вас просто воровали мнемоническую фразу и пытались скрытно вывести средства с вашего кошелька.

    Двоичный файл Windows

    На сервере C2 45.9.148[.]65 также имелся двоичный файл для Windows со следующими свойствами:
    Версия файла для Windows делала практически всё то же, что и версия для Linux — она использовалась для кражи вашей мнемонической фразы и средств, но функции назывались иначе.

    Например:
    _ZN10cryptonote13simple_wallet9send_seedERKN4epee15wipeable_stringE

    5.PNG

    Примечание. Это не означает, что официальный двоичный файл Windows также был взломан — это означает, что где-то также существовал взломанный файл для Windows. Только команда Monero может подтвердить, были или нет взломаны другие двоичные файлы (помимо файла для Linux, о котором говорится в этом блоге).

    Обнаружение

    Если вы используете Firewall или прокси-сервер, аппаратный или программный, проверьте свой трафик на предмет соединения со следующими узлами:
    • node.hashmonero[.]com
    • node.xmrsupport[.]co
    • 45.9.148[.]65
    • 91.210.104[.]245
    Удалите все двоичные файлы, указанные в этом посте.

    Проверьте хеши вашего установочного файла Monero. Соответствующее руководство можно найти здесь:
    Примечание. Что такое хеш? Хеш — это уникальный идентификатор. Он может использоваться для файла, слова... Для проверки целостности файлов предпочтительнее использовать хеши SHA256, так как это безопаснее.

    Для обнаружения вредоносных или взломанных файлов также можно использовать следующее правило Yara: Monero_Compromise.yar.

    Скачать Yara (и соответствующую документацию) можно здесь: https://github.com/VirusTotal/yara

    А вот ещё результаты анализа, проведённого SerHack:

    https://serhack.me/articles/cli-binaries-compromised-monero-analysis/

    Рекомендации
    • Установите антивирус и по возможности пользуйтесь Firewall (бесплатным или платным — не так важно).

    • Если вы уже используете антивирус, то хорошо бы не исключать определённую папку, когда вы пользуетесь Monero (или другими майнерами), и если так необходимо, то это стоит делать только после проверки хешей.

    • Восстановите вашу мнемоническую фразу или аккаунт:

    • как восстановить свой аккаунт: https://web.getmonero.org/resources/user-guides/restore_account.html;

    • как восстановить свой кошелёк, используя мнемоническую фразу: https://monero.stackexchange.com/questions/10/how-can-i-recover-a-wallet-using-the-mnemonic-seed.

    • В течение нескольких дней после этого следите за своим аккаунтом и кошельком на предмет наличия мошеннических транзакций.

    • Свяжитесь с командой Monero, чтобы получить помощь.
    Примечание. Особенно рекомендуется сделать всё это, если вы использовали или устанавливали новые двоичные файлы в этот временной промежуток: понедельник 18 ноября, 1:30 AM UTC и 5:30 PM UTC. Самую последнюю версию можно загрузить по этой ссылке: https://web.getmonero.org/downloads/.

    Заявление команды Monero

    Командой Monero было выпущено следующее заявление:

    Внимание! Двоичные файлы CLI-кошелька в течение короткого времени были взломаны:
    https://web.getmonero.org/2019/11/19/warning-compromised-binaries.html


    Я ожидаю, что это заявление будет обновлено в течение ближайших дней, так что стоит следить и за ним.

    Заключение

    Monero — не первая и, вероятно, не последняя криптовалюта (а в данном случае её сайт и двоичные файлы), которая подвергается взлому.

    Следуйте рекомендациям, которые приводятся в данном посте, чтобы обезопасить себя, и всегда пристально следите за своими онлайн аккаунтами, особенно, если речь идёт о ваших деньгах. Используйте сложные пароли, используйте MFA (или 2FA), когда это возможно, и всегда будьте бдительны. Проверяйте хеши при выходе каждой новой версии.

    Примечание. Этот пост не является полным анализом. Скорее, это краткий отчёт по фактам, содержащий некоторые рекомендации. Вопросы и комментарии? Буду рад получить!

    Источник: Monero download site and binaries compromised

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
    #1 Mr. Pickles, 4 дек 2019
    Последнее редактирование: 4 дек 2019
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.