Интересно [Анализ] Monero - false privacy? История взлома.

Admin

Admin

Администратор
Без названия.jpg
Abstract
Целью данной проверки было установить, что пользователь с ником kretin (далее - Пользователь) участвовал во взломе официальных ресурсов криптовалюты monero. Было установлено, что он имеет доступ к управлению гейтом, который действительно использовался во время атаки на официальные ресурсы криптовалюты monero. Также было установлено то, что Пользователь имел возможность создать PE-файл, использовавшийся в атаке. Было предоставлено более чем достаточно доказательств, чтобы вынести заключение о том, что Пользователь действительно участвовал в атаке.

Methods
Были проанализированы открытые источники информации, PE-файлы, предоставленные Пользователем: файл, использовавшийся во время атаки, скомпилированный файл с адресом гейта равным "localhost", видео с компиляцией и демонстрацией хэш-сумм скомпилированных файлов и демонстрацией атаки.

Results
Пользователь на сайте exploit утверждает, что произвёл взлом официального сайта криптовалюты monero (1).

Был произведён взлом и об этом есть официальное утверждение разработчиков monero (2).

В сторонних источниках (4) был анализ бинарных файлов от исследователей, из которых можно выяснить, что кошелёк действительно был подменён злоумышленниками и seed-ключи отправлялись на node.hashmonero.com (далее - гейт).

На момент проверки (21.11.2019) IP-адресом домена "node.hashmonero.com" являлся "45.9.148.65".

В качестве доказательства аутентичности, Пользователь привёл (5) размещенное на гейте сообщение, на данный момент доступное по адресу:

IP-адрес гейта, указанным Пользователем (5) совпадает с адресом, указанным сторонними исследователями (4), а также совпадает с IP-адресом, указанным в других источниках (3, 8).

По хэшу, указанному исследователем в твиттере (4), можно найти файл на virustotal (5), SHA-256 hash-сумма которого будет:
7ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31

Что совпадает с одним из хэшей, указанным в issue на github (7) (ссылка на issue приведена в официальном сообщении от разработчиков (2)).
issue и файл были опубликованы 18.11.2019
Из чего можно вынести, что исследователи изучали файл действительно использовавшийся в произведённой атаке. Из файла они смогли извлечь адрес гейта, который совпадает с адресом, на котором Пользователь разместил доказательство в виде сообщения (скриншот от стороннего пользователя форума имеется в теме пользователя (9)).

После чего, мы запросили у пользователя 2 PE-файла: файл, использовавшийся в атаке (файл-1), файл с адресом гейта изменённым на localhost (файл-2); видео с компиляцией и демонстрацией хэш-сумм скомпилированных файлов.

После предоставления файлов и видео, были сверены хэш-суммы. Хэш-сумма первого файла совпадает с хэш-суммой файла, использовавшегося во время атаки (6). Хэш-сумма второго файла совпадает с хэш-суммой скомпилированного файла на видео.

При сравнении файла-2 и файла-1, можно было вынести то, что файл-2 не является отредактированной в HEX-редакторе версией файла-1, а является отдельно скомпилированной версией кошелька, что позволяет утверждать то, что Пользователь действительно имел возможность скомпилировать PE-файл, использовавшийся в атаке.



Conclusion
Пользователь имел или имеет доступ к управлению гейтом, на который отсылались seed-ключи криптовалюты monero. Более того - были предоставлены PE-файлы, которые позволяют утверждать то, что Пользователь имел возможность скомпилировать PE-файл, использовавшийся в атаке. Из всего вышеперечисленного, следует, что Пользователь имеет явное отношение к произведённой атаке и привёл более чем достаточно доказательств для подтверждения этого.




Sources:
1. https://exploitinqx4sjro.onion/topic/164577/
2. https://web.getmonero.org/2019/11/19/warning-compromised-binaries.html
3. https://xakep.ru/2019/11/20/monero-hacked/
4.
https://twitter.com/i/web/status/1197062037148327937
5. https://exploitinqx4sjro.onion/topic/164577/?tab=comments#comment-1055414
6. https://www.virustotal.com/gui/file...2fbfe9e085712657d2cfa5524f2c8caccca31/details
7. https://github.com/monero-project/monero/issues/6151
8. https://github.com/monero-project/monero/issues/6151#issuecomment-555694443
9. https://exploitinqx4sjro.onion/topic/164577/?do=findComment&comment=1055428
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
wrangler65 Изучение загрузчиков вредоносного ПО LNK: случайный анализ Вирусология 0
VNDLS Обход блокировок сервисов | Анализ | Поиск решений | Безопасность [VNDLS Bypass] Ищу работу. Предлагаю свои услуги. 0
wrangler65 Русскоязычные форумы киберпреступников – анализ наиболее активных и известных сообществ. Ч.2 Полезные статьи 0
wrangler65 Интересно Русскоязычные форумы киберпреступников – анализ наиболее активных и известных сообществ. Ч.1 Полезные статьи 0
Support81 Анализ Telegram: Защищенный мессенджер или опасное заблуждение? Новости в сети 0
GitStatAudit Анализ чужого кода Свободное общение 1
B [Специалист] Анализ данных на языке SQL (2019) Полезные статьи 0
A Анализ репозитория программного обеспечения - MSR Полезные статьи 0
A Что такое анализ данных? Полезные статьи 0
G QuickSand — делаем анализ подозрительных вредоносных документов Готовый софт 0
F Анализ работы стиллера Готовый софт 4
L Обработка формы и анализ трафика по http/// Wait form and take traffic http Программирование 0
Support81 Япония взломала Monero: арестован глава преступной сети Новости в сети 0
Support81 ShadowRay: майнинг Monero, кража данных и другие угрозы Новости в сети 0
L Интересно Хакеры атаковали европейские суперкомпьютеры для добычи Monero Новости в сети 0
NickelBlack Bitcoin, Ethereum & Monero clipper Source Программирование 3
L Интересно ESET вскрыла ботнет для майнинга Monero из 35 тысяч устройств Новости в сети 0
Admin Интересно Monero - false privacy? История взлома. Новости в сети 1
F Бесплатный скрытый майнер Monero+Zcash Готовый софт 83
S Эпидемия SambaCry заставила тысячи Linux-устройств майнить Monero Новости в сети 0

Название темы