首页
社区
课程
招聘
[翻译]恶意ElectrumX服务端源码分析
发表于: 2019-12-30 20:30 7427

[翻译]恶意ElectrumX服务端源码分析

2019-12-30 20:30
7427

数月前,Reddit论坛上发布了一篇关于Electrum网络上的恶意服务器对Electrum钱包(一种比特币客户端)用户进行网络钓鱼攻击的文章。Electrum在此GitHub issue中证实了这一点。 blog.coinbase.comMalwarebytes上的文章清楚地解释了钓鱼攻击的执行方式。

最近,我在Electrum网络中发现了一些恶意的ElectrumX节点,这些节点仍然在与Electrum软件通信。在这篇文章中,我分享了有关这些节点以及恶意ElectrumX变种的一些信息。

运行Electrum客户端,可以看到客户端连接的服务器列表。例如,在app.any.run沙箱运行客户端时,可以看到连接的服务器列表,其中有一些可疑的服务器IP:

图片描述
可以看到,ANY.RUN已经将IP 92.63.197.245electrumx.ml)标记为可疑。此IP段92.63.197.0/24中的一些IP也与其他恶意活动有关。例如,该文章中提到92.63.197.48与GrandCrab勒索病毒有关,另一篇文章中提到92.63.197.153与Phorphiex僵尸网络有关。

此外,我找到了更多的ElectrumX节点:92.63.192.24992.63.192.250。同样,该IP段中的一些IP也与其他恶意活动有关。在撰写本文时,PredatorTheThief木马控制面板的IP是92.63.192.186。http://92.63.192.139/pay是一个钓鱼页面。

我们成功定位到了这些恶意服务器执行的ElectrumX变种源码,是1.8.2版本的ElectrumX服务端代码的变体。

可以在此处下载恶意服务端源码(密码:infected12345678)。

官方ElectrumX 1.8.2源码可在GitHub下载

我们比较了官方版本变种版本,有多处不同。比如,我们在/electrumx/server/session.py中发现了最主要的一个不同点:

图片描述
此处,根据Electrum客户端版本号,ElectrumX服务端变种会发送不同的钓鱼消息。钓鱼消息如下所示:

图片描述
图片描述
图片描述

恶意代码作者开发了PHP控制面板,以便于配置服务器。可在服务端变种ZIP文件夹(密码:infected12345678)中找到此控制面板的源码。 此外,恶意代码作者可以通过PHP控制面板修改和更新钓鱼消息。
图片描述
图片描述

查看变种源码(/electrumx/lib/coins.py),我们可以找到与官方源码不同的节点列表:

图片描述

此外,我们还收集到一些相连的节点(可能大多数92.63..都在运行恶意ElectrumX服务端变种) 图片描述


[注意]APP应用上架合规检测服务,协助应用顺利上架!

最后于 2020-2-1 11:23 被kanxue编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//