Анализ скрытого майнера от Eduard1337(Vans)
ims0rry
Охх, наконец-то я добрался до этого майнера. На этого персонажа у меня свои обиды. Но, все сошлось удачно, и ничего хорошего про сырки его майнера не скажет ни один адекватный человек (даже тот который не шарит в кодинге, я проверил перед написанием статьи):
Ну и запомните эти слова, напоследок:
Итак, начнем:
По традиции смотрим, что за файл у нас:
Какая-то непонятная штука, смотрим через IDA:
Стоит защита от дебаггера, вроде неплохо.
Открываем файл в Resource Hacker:
Видим, что встроено 2 бинарника. Очевидно, один из них - зашифрованный пейлоад, а второй - ключ для дешифрации. Дроппер? Без сомнений. Только зачем на дроппер ставить защиту от дебаггера для меня останется загадкой на всю оставшуюся жизнь.
Поведение
Нет ни настроения, ни желания играться с этими бинарниками чтоб расшифровать, поэтому тупо запускаем на виртуалке и смотрим что куда дропнется. В папке %temp% создались следующие объекты:
Содержимое первой папки:
Содержимое второй папки:
Надо подчеркнуть, скрыть папки у разработчика ума хватило.
Майнер работает через стандартную автозагрузку:
И не скрывается от диспетчера, как указано в топике (это вообще круто, 100% нагрузки в диспетчере, и, да, я ждал примерно минуты 2 с открытым диспетчером):
Анализ файлов
Как выяснилось, дроппер плюется двумя sfx-архивами, которые распаковываются в папке %temp%, их содержание и комментарии:
Автозагрузка также прописана через SFX-комментарий.
System.bat - запускает майнер с параметрами:
System.vbs - запускает System.bat (на этом моменте я блеванул):
WinHelp.bat - восстановление процесса майнера (но это не точно, я в batch не силен):
WinHelp.vbs - запускает WinHelp.bat .-. :
Svchost.exe - консольный xmrig:
Который, к слову, не запускается, если рядом не лежит file.data. Который, в свою очередь, похож на тот зашифрованный файл из RCData (это не он). Видимо, дядя Эдуард предусмотрел возможность юзера запустить билд и сделал какую-то проверку перед запуском (вообще хз что это, ребята, спасите, я как будто в канализацию залез), но то что эти 2 файла можно заменить на любой другой консольный майнер - это факт.
Ах да, увидел в топике прикольную штуку:
Насчет первого мы уже выяснили - этого даже в функционале нет.
Итог
Я хз как этот товарищ прошел проверку аж на двух бордах (дарквеб и влми), но прошел и еще с более херовой версией, как я понял. Ибо у него еще были "крутые" обновления майнера и стаба, а тема висела с незапамятных времен.
Денег такое дерьмо не стоит, даже 600 рублей.
В принципе, можно описать мнением одного из читателей моего блога:
Надеюсь, на бордах начнут проверять софт перед продажей по-лучше.
Ссылки
Скантаймы и прочую ересь я не вижу смысла выкладывать, вы должны понимать что на такой сборке вы там ничего хорошего не увидите. Поэтому:
Исходники + семпл - https://github.com/ims0rry/Eduard1337-Vans-miner
Ссылки на продажники:
VLMI - https://vlmi.su/threads/skrytyj-majner-po-chelovecheskoj-cene.6688/
DW - https://darkwebs.ws/threads/43212/
-------------------------------
Автор @ims0rry