昨日，慢霧安全團隊監(jiān)測到 Monero 官方社區(qū)和官方 GitHub 出現(xiàn)安全類 issue 提醒，據(jù)用戶反饋從 Monero 門羅幣官網(wǎng) getmonero org 下載的 CLI 二

昨日，慢霧安全團隊監(jiān)測到 Monero 官方社區(qū)和官方 GitHub 出現(xiàn)安全類 issue 提醒，據(jù)用戶反饋從 Monero 門羅幣官網(wǎng) getmonero.org 下載的 CLI 二進制錢包文件和正常 hash 不一致，疑似被惡意替換!而且用戶被盜大概價值 7000 美金的門羅幣。

慢霧安全團隊第一時間發(fā)布預警并進行了相關(guān)安全分析與溯源：

在 Reddit 上的反饋地址：

https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/

GitHub 上的討論地址：

https://github.com/monero-project/monero/issues/6151

Linux 二進制文件：

用戶 nikitasius 提供了能夠檢索到的惡意二進制文件信息：

https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/

此二進制文件是有以下屬性的 ELF 文件：

MD5：d267be7efc3f2c4dde8e90b9b489ed2a

SHA-1：394bde8bb86d75eaeee69e00d96d8daf70df4b0a

SHA-256：ab9afbc5f9a1df687558d570192fbfe9e085712657d2cfa5524f2c8caccca31

File type：ELF

Magic: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), dynamically linked (uses shared libs), for GNU/Linux 3.2.0, from 'x)', not stripped

File size: 27.63 MB (28967688 bytes)

對比合法文件和此 ELF 文件時，我們發(fā)現(xiàn)文件大小有所不同，并添加了一些新功能代碼，如：

cryptonote :: simple_wallet :: send_seed

在打開或創(chuàng)建新錢包后會立即調(diào)用此功能，進行如下圖所示的操作：

私鑰將會被發(fā)送到：node.hashmonero.com

cryptonote :: simple_wallet :: send_to_cc

該功能會將數(shù)據(jù)發(fā)送到 CC 或 C2(命令控制服務(wù)器)服務(wù)器，從而竊取用戶資產(chǎn)。

使用向該 C2 服務(wù)器發(fā)送 HTTP POST 請求，將資金相關(guān)敏感信息發(fā)送到以下惡意 C2：

node.xmrsupport.co

45.9.148.65

從分析來看，似乎并沒有創(chuàng)建任何其他文件或文件夾，只是竊取私鑰并試圖從錢包中盜走資產(chǎn)。

Windows 二進制文件:

C2 服務(wù)器45.9.148.65 還具有以下屬性：

MD5: 72417ab40b8ed359a37b72ac8d399bd7

SHA-1: 6bd94803b3487ae1997238614c6c81a0f18bcbb0

SHA-256: 963c1dfc86ff0e40cee176986ef9f2ce24fda53936c16f226c7387e1a3d67f74

File type: Win32 EXE

Magic: PE32+ executable for MS Windows (console) Mono/.Net assembly

File size: 65.14 MB (68302960 bytes)

Windows 版實際上與 Linux 版有相同的功能: 竊取私鑰和錢包資產(chǎn)。

只是函數(shù)名稱不同而已，例如 _ZN10cryptonote13simple_wallet9send_seedERKN4epee15wipeable_stringE

如果你有使用防火墻或代理(硬件或軟件)，請驗證是否有網(wǎng)絡(luò)流量與以下域名、IP發(fā)生連接：

node.hashmonero.com

node.xmrsupport.co

45.9.148.65

91.210.104.245

刪除此文中列出的所有二進制文件;

驗證 Monero 安裝程序或安裝程序文件的 hash 值。

針對初學者：https://src.getmonero.org/resources/user-guides/verification-windows-beginner.html

高級用法：https://src.getmonero.org/resources/user-guides/verification-allos-advanced.html

注意：哈希列表位于：https://web.getmonero.org/downloads/hashes.txt

什么是哈希?哈希是唯一的標識符。這可以是一個文件、一個單詞等，最好使用 SHA256 哈希進行文件檢查。

你還可以使用以下 Yara 規(guī)則來檢測惡意或受感染的二進制文件：

Monero_Compromise.yar

下載 Yara(和文檔)：https://github.com/VirusTotal/yara

建議

安裝殺毒軟件，并盡可能使用防火墻(免費或付費的都行);

如果已經(jīng)在使用防病毒軟件：使用 Monero(或其他礦工)時，最好不要在防病毒軟件中排除特定的文件夾，如果需要，請在驗證 hash 值之后再使用;

重置你的種子或帳戶;

如何重置帳戶：https://web.getmonero.org/resources/user-guides/restore_account.html

使用助記詞恢復錢包：https://monero.stackexchange.com/questions/10/how-can-i-recover-a-wallet-using-the-mnemonic-seed

監(jiān)視你的帳戶/錢包，確認沒有惡意交易。如果有，隨時聯(lián)系門羅團隊以獲取支持。

請刪除并下載最新版本：https://web.getmonero.org/downloads/

門羅官方團隊聲明：

Warning: The binaries of the CLI wallet were compromised for a short time：

https://web.getmonero.org/2019/11/19/warning-compromised-binaries.html

慢霧團隊提醒：

針對供應(yīng)鏈攻擊，鑒于開發(fā)、運維人員安全意識不足等問題，慢霧安全團隊很久之前已經(jīng)預見了這類攻擊的可能性，Monero 不是第一個受到攻擊的加密貨幣或錢包，也不可能是最后一個受到攻擊的加密貨幣或錢包。

所以請官方人員注意自身賬戶安全，請使用強密碼，并且一定盡可能使用 MFA(或2FA)，時刻保持安全意識;針對各類應(yīng)用程序有可用新版本更新時注意驗證 hash 值。（慢霧安全團隊）

關(guān)鍵詞： Monero GitHub 二進制錢包