• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Анализ скрытого майнера от Hostis666

ims0rry

Omae wa mou shindeiru

ims0rry

Omae wa mou shindeiru
Местный
Сообщения
119
Реакции
679
0 руб.
Jabber
Please note, if you want to make a deal with this user, that it is blocked.
Оригинал статьи -
Для просмотра содержимого вам необходимо авторизоваться.


Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Предисловие
Билд сам по себе очень старый, мне подогнал его один из клиентов. Продажник был опубликован аж 17.01.17. Но последнее обновление было 03.08.17. Так что, не такой уж я и археолог :D Воспринимайте это скорее как гайд, а не анализ.

P.S. у меня оба билда этого майнера, в том числе и последнего обновления. И оба разберу в этом гайде.


17.01.17
И начнем, мы, пожалуй, с древностей.

Первый билд выглядит вот так:
5kwj6-J0S76V2RrrSAh8RQ.png

Скан, как видим, за такой промежуток времени очень просел - http://viruscheckmate.com/id/sXpOEv6gDGsO

По детектам уже становится понятно что файл накрыт UPX'ом. Чекаем через exeInfo и DIE(Detect it easy) чтоб убедиться:
WAjxuhVbRX6wM4ZhvD5FZA.png

Все верно. К тому же, узнаем, что майнер написан на автоите.

Для распаковки UPX лично я юзаю встроенный модуль в Aegis Crypter:

S1JtpsAyS1qWNyNvlzR8yg.png

После распаковки получаем следующую картину:
cEgDqX6iQT28EZOCL8k4hA.png

Файл распакован, мы знаем что он написан на автоите. Теперь остается только прогнать его через exe2Aut (сверху очень много мусора, я выделил основной участок кода):
oVk73EInQE2T9YzSMVdxug.png

Алгоритм таков:

Идет запрос к логгеру -> Создается папка System32 в ProgramData -> распаковываются файлы майнера в зависимости от разрядности системы -> Создается ярлык Security в папке автозагрузки -> Запускается файл Security.exe через команду CMD.

Все эти файлы распаковались вместе с основным:

YpxmgoNAQ6SucJntfVgjHw.png

Тут находится обфусцированный батник:
BuZg3hO4TDSIU7PZcjRYCQ.png

Autoit-оболочка:
eKD3BFDKSJW1Dxi53DEr5w.png

nOB2OqZ-ThKSfn_rEn9Q8w.png

Вот тут очень интересный момент. Файлы скачиваются с сайта разраба (типа автообновление стаба). Далее чекается диспетчер задач и уже запущенный майнер, если не находится - запускается батник, который передает параметры майнеру.

И консольный майнер:

QWccbgviQs2u7Lhnrna1PA.png

yjB5akmOSPev0Xu-ZEhbZA.png

Довольно примитивно, но и цена на тот момент была соответствующая - 400р.

03.08.17
Тут уже дается аж два файла:
OMsdmqSaQoOSh7C4tW_lpg.png

Первый, очевидно, для удаления, второй для майнинга.

Смотрим первый:

GlbfzXMWQ46Mazu42pRepw.png

Смотрим второй:
hAgcnhTmQBmZuwFtrwb24A.png

Опа, опять автоит. Теперь даже без UPX. Загружаем в exe2Aut:
niyjjg1dQKChOaGnWYc_IA.png

Мне кажется, или за 7 месяцев ничего не поменялось?

Смотрим распаковавшиеся файлы:

QH4dovFkR9_aJJ8UGS1XOw.png

Фейк-ошибка
XJddZ88KS0O7rYDLGLVs8g.png

Запускатор
WTiVJ7hARoaEgKUHJPqt2Q.png

Дроппер
v7f4hnYdTXifNBeSSlKuVQ.png

И 2 обфусцированных батника. Видимо, в этот раз, через них происходит прогруз xmrig.

Ссылки
Продажник -
Для просмотра содержимого вам необходимо авторизоваться.

Семпл + исходники - https://github.com/ims0rry/Hostis666-hidden-miner
 
Последнее редактирование:

Unnamed

Один на все века

Unnamed

Один на все века
Резидент
Сообщения
437
Реакции
445
0 руб.
Telegram
Отличная статья)
Люблю твои статьи, так держать.
С наступающим!
 

Morris

Эксперт
Сообщения
363
Реакции
557
0 руб.
Telegram
Сорик вот ты негодник всех разоблачает) что бы твои майнеры покупали))))
 

Unnamed

Один на все века

Unnamed

Один на все века
Резидент
Сообщения
437
Реакции
445
0 руб.
Telegram
а можно типа сделать из этого майнера себе майнер
Имея общие понятия компиляции софта на языках программирования, из исходников можно сделать рабочий софт.
Гугл в помощь)
 
Сверху Снизу