Анализ скрытого майнера от Eduard1337(Vans)

Анализ скрытого майнера от Eduard1337(Vans)

ims0rry

Охх, наконец-то я добрался до этого майнера. На этого персонажа у меня свои обиды. Но, все сошлось удачно, и ничего хорошего про сырки его майнера не скажет ни один адекватный человек (даже тот который не шарит в кодинге, я проверил перед написанием статьи):

Ну и запомните эти слова, напоследок:

Итак, начнем:

По традиции смотрим, что за файл у нас:

Какая-то непонятная штука, смотрим через IDA:

Стоит защита от дебаггера, вроде неплохо.

Открываем файл в Resource Hacker:

Видим, что встроено 2 бинарника. Очевидно, один из них - зашифрованный пейлоад, а второй - ключ для дешифрации. Дроппер? Без сомнений. Только зачем на дроппер ставить защиту от дебаггера для меня останется загадкой на всю оставшуюся жизнь.

Поведение

Нет ни настроения, ни желания играться с этими бинарниками чтоб расшифровать, поэтому тупо запускаем на виртуалке и смотрим что куда дропнется. В папке %temp% создались следующие объекты:

Содержимое первой папки:

Содержимое второй папки:

Надо подчеркнуть, скрыть папки у разработчика ума хватило.

Майнер работает через стандартную автозагрузку:

И не скрывается от диспетчера, как указано в топике (это вообще круто, 100% нагрузки в диспетчере, и, да, я ждал примерно минуты 2 с открытым диспетчером):

Анализ файлов

Как выяснилось, дроппер плюется двумя sfx-архивами, которые распаковываются в папке %temp%, их содержание и комментарии:

Автозагрузка также прописана через SFX-комментарий.

System.bat - запускает майнер с параметрами:

System.vbs - запускает System.bat (на этом моменте я блеванул):

WinHelp.bat - восстановление процесса майнера (но это не точно, я в batch не силен):

WinHelp.vbs - запускает WinHelp.bat .-. :

Svchost.exe - консольный xmrig:

Который, к слову, не запускается, если рядом не лежит file.data. Который, в свою очередь, похож на тот зашифрованный файл из RCData (это не он). Видимо, дядя Эдуард предусмотрел возможность юзера запустить билд и сделал какую-то проверку перед запуском (вообще хз что это, ребята, спасите, я как будто в канализацию залез), но то что эти 2 файла можно заменить на любой другой консольный майнер - это факт.

Ах да, увидел в топике прикольную штуку:

Насчет первого мы уже выяснили - этого даже в функционале нет.

Итог

Я хз как этот товарищ прошел проверку аж на двух бордах (дарквеб и влми), но прошел и еще с более херовой версией, как я понял. Ибо у него еще были "крутые" обновления майнера и стаба, а тема висела с незапамятных времен.

Денег такое дерьмо не стоит, даже 600 рублей.

В принципе, можно описать мнением одного из читателей моего блога:

Надеюсь, на бордах начнут проверять софт перед продажей по-лучше.

Ору с тебя, чебурек


Ссылки

Скантаймы и прочую ересь я не вижу смысла выкладывать, вы должны понимать что на такой сборке вы там ничего хорошего не увидите. Поэтому:

Исходники + семпл - https://github.com/ims0rry/Eduard1337-Vans-miner

Ссылки на продажники:

VLMI - https://vlmi.su/threads/skrytyj-majner-po-chelovecheskoj-cene.6688/
DW - https://darkwebs.ws/threads/43212/

-------------------------------

Автор @ims0rry

https://t.me/ims0rryblog