-
-
[翻译]恶意ElectrumX服务端源码分析
-
发表于: 2019-12-30 20:30 7427
-
数月前,Reddit论坛上发布了一篇关于Electrum网络上的恶意服务器对Electrum钱包(一种比特币客户端)用户进行网络钓鱼攻击的文章。Electrum在此GitHub issue中证实了这一点。 blog.coinbase.com和Malwarebytes上的文章清楚地解释了钓鱼攻击的执行方式。
最近,我在Electrum网络中发现了一些恶意的ElectrumX节点,这些节点仍然在与Electrum软件通信。在这篇文章中,我分享了有关这些节点以及恶意ElectrumX变种的一些信息。
运行Electrum客户端,可以看到客户端连接的服务器列表。例如,在app.any.run沙箱运行客户端时,可以看到连接的服务器列表,其中有一些可疑的服务器IP:
可以看到,ANY.RUN已经将IP 92.63.197.245(electrumx.ml)标记为可疑。此IP段92.63.197.0/24中的一些IP也与其他恶意活动有关。例如,该文章中提到92.63.197.48与GrandCrab勒索病毒有关,另一篇文章中提到92.63.197.153与Phorphiex僵尸网络有关。
此外,我找到了更多的ElectrumX节点:92.63.192.249和92.63.192.250。同样,该IP段中的一些IP也与其他恶意活动有关。在撰写本文时,PredatorTheThief木马控制面板的IP是92.63.192.186。http://92.63.192.139/pay是一个钓鱼页面。
我们成功定位到了这些恶意服务器执行的ElectrumX变种源码,是1.8.2版本的ElectrumX服务端代码的变体。
可以在此处下载恶意服务端源码(密码:infected12345678)。
官方ElectrumX 1.8.2源码可在GitHub下载。
我们比较了官方版本和变种版本,有多处不同。比如,我们在/electrumx/server/session.py中发现了最主要的一个不同点:
此处,根据Electrum客户端版本号,ElectrumX服务端变种会发送不同的钓鱼消息。钓鱼消息如下所示:
恶意代码作者开发了PHP控制面板,以便于配置服务器。可在服务端变种ZIP文件夹(密码:infected12345678)中找到此控制面板的源码。 此外,恶意代码作者可以通过PHP控制面板修改和更新钓鱼消息。
查看变种源码(/electrumx/lib/coins.py),我们可以找到与官方源码不同的节点列表:
此外,我们还收集到一些相连的节点(可能大多数92.63..都在运行恶意ElectrumX服务端变种) :
赞赏
- [翻译]老木马新玩法:Qbot最新攻击手法探究 19582
- [翻译]Crimson远控木马分析 25222
- [翻译]DLL劫持自动化检测 25021
- [翻译]使用Frida框架hook安卓native方法(适合新手) 26916
- [翻译]蓝军测试中PROXY protocol的应用 8347