近期数字货币市场回暖，交易所安全事件又开始频频发生，最近新加坡一交易平台被盗事件引起了各方注意。

3月24日凌晨，DragonEx平台钱包遭受黑客入侵，导致用户和平台的数字资产被盗，其中涉及到的加密货币高达20种，除此之外还涉及部分ERC20 Token，初步估计平台受损超 4000 万人民币。

3月26日上午，DragonEx交易所再发公告称，已将DragonEx被盗资产转移到相关地址，并表示正在积极追回被盗资产，与爱沙尼亚、泰国、新加坡、香港等行政司法机关报警备案，协助警方在积极展开调查。同时呼吁所有交易所同仁以及各方力量，协助调查冻结，阻断该资金流通。

事件发生后，巴比特联系DragonEx交易所的相关负责人，对方表示：“现在都在与黑客抢速度，没有时间。只能呼吁行业各方力量能够参与进来。”

看雪联系到了区块链知名安全团队降维安全从技术角度还原了整个过程。 

新加坡龙网数字货币交易所 DragonEx 发生被盗事件后，降维安全实验室第一时间积极与龙网取得联系，与龙网一起分析和确认。

客服曾经从陌生人处获取并打开了一个Apple OS X下“交易软件”安装包WbBot.dmg (SHA256哈希****7DEC218E815A6EB399E3B559A8962EE46418A4E765D96D352335********)，此安装包经降维安全实验室技术分析存在捆绑后门，黑客通过此安装包内后门获取内部人员权限渗透进内网进而成功获取数字货币钱包私钥。

经过研究人员对 WbBot 对样本的进一步逆向分析，我们可以得到很多后门的行为细节。

该团队应该有比较全面的人员配置，有社工、MacOS、Win 大马，有服务端、有网站运营等。

loader后门启动参数为PackageValidate，所以中招机器上能看到进程项/Applications/WbBot.app/Contents/Resources/.loader PackageValidate。

下图是后门检测参数的关键代码:

后门所连接的C&C服务器为www.wb-bot.org。

下图是连接C&C服务器的关键代码: 

通过whois查询得知，这个C&C服务器(同时也是个逼真的钓鱼网站)注册于2018年10月份，并煞费苦心的经营了N个月。下图是google的搜索结果： 

下图为钓鱼网站whois的RAW查询记录：

下图是钓鱼网站的SSL证书生效时间：

值得注意的是这个loader本身只是个下载器,随后会下载具备全功能的大马到内存，并解密释放至路径/var/pkglibcert。 

因钓鱼网站目前已经下线，所以暂时无法获取此大马进一步行为分析。

下图是释放后门的部分代码：

另外, 如下图所示的是上述解密过程涉及的内置RC4密钥，以及之前连接C&C服务器过程涉及的异或密钥：

降维安全实验室预警多家交易平台沦为国家级APT组织攻击目标，经确认此次攻击系国家级黑客Lazarus（T-APT-15）组织所为。Lazarus是来自朝鲜的APT组织，该组织长期对韩国、美国进行渗透攻击，此外还对全球的金融机构进行攻击，堪称全球金融机构的最大威胁。

该组织最早的攻击活动可以追溯到2007年。Lazarus 针对数字交易货币平台发起连续的攻击行动，多个大型数字货币交易平台均遭到不同程度的渗透攻击，该黑客组织与2014索尼影业遭黑客攻击事件、2016年孟加拉国银行数据泄露事件及2017年席卷全球的wannacry勒索病毒等著名攻击事件有关。

就在今日DragonEx发出公告不久，新加坡另一家数字货币交易所BiKi也宣布被盗，具体原因和数量不详。交易所被盗，最受受害的还是投资者。

首先，建议交易所加强公司内部人员的安全意识培养，往往他们是安全链中最为薄弱的环节。那针对个人用户，该如何保护好自己的数字货币呢？

1、平时用户养成良好的使用习惯。

选择主流交易平台，从官方渠道下载钱包客户端；备份好自己的钱包文件；要做好内网服务的安全隔离，保护好热冷钱包的私钥；设置复杂的密码；在不同的平台使用不同的登录口令；谨慎下载论坛、社群里的文件，不要打开陌生用户发过来的链接、文档、程序，防止钓鱼软件中招等......

2、个人数字钱包的“私钥”绝对不能外泄。

“公钥”是收款地址，就好比自己的门牌号码，而私钥/助记词/keystore等相当于自家的“钥匙”，这三类中任何一项均不要随便泄露给别人，最好是能够离线保存或保存在加密本地存储硬盘或U盘里。

3、数字货币投资者在转账时要反复确认转币对象和地址。

因为钱包地址一般一串很长的字符，最好直接复制，并核对一遍，因为交易是不可逆的，一旦打过去就是别人的了。

注意不要因为一些“更低的手续费”、“更多的额度”等承诺而绕过平台担保，进行私下点对点交易，一旦发生很难追回。

来源：

降维安全实验室

51BB8财经

花无涯

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多~