Анализ скрытого майнера от GucciMine

Анализ скрытого майнера от GucciMine

ims0rry

Предыстория

Я проверяю продаваемый софт на форуме darkwebs[.]ws и на днях ко мне пришел селлер данного майнера за проверкой (vlmi[.]su/threads/skrytyj-majner-podarok-2-manuala-po-nakrutke-majnerov.9245). Собственно, я все проверил, разобрал по полочкам и оставил отзыв в его теме и в теме на дарквебсе. После чего, мой селлер на влми тоже оставил отзыв в его теме, но не о софте, а о гуччи, как о селлере. Далее, спустя какое-то время мне на глаза попадает вот это:

Переписка моего селлера и GucciMine(Miner Gram)

И тут я охренел. Парень юзает мой майнер, признает что он лучше чем его (иначе на кой хер использовать другой майнер, вместо того, что ты сам сделал и сам продаешь). Да, я тоже до какого-то момента использовал майнер Hawksh'a, но и свой софт я постоянно развивал и делал лучше, и когда я достиг той кондиции, которая была удовлетворительной лично для меня, я стал сам использовать свой продукт, использую до сих пор и полностью доволен. НО, я никогда не пытался выехать на безобоснованной критике софта Хавка для получения большего кол-ва продаж себе, как пытается это сделать GucciMine с моим продуктом. Данная ситуация меня, конечно, очень огорчила (нет) и я решил, почему бы не показать людям, под чем они оставляют свои положительные отзывы?

Часть 1. Распаковка и автозагрузка

После недолгой возни мне наконец скинули билд майнера, работающий без админ-прав (предыдущий был склеен через SIM, лол).

Качественные билды через SFX #УдачиВКрипте


В архиве находится 2 файла, ярлык на один из них, судя по SFX-скрипту и комментарию селлера, летит в дефолтную папку автозагрузки (последняя строчка коммента)

Майнер не заработает если запускать файлы, не сложеннные в одну папку

К слову, о стандартной автозагрузке:

В теме указано следующее

Разве что, во влажных мечтах кодера

Хочу напомнить, что это реализуется не через дефолтный %startup%, а через планировщик задач, он же schtasks. Что же получается, нас обманули? Частично.

Часть 2. Изучение файлов

После распаковки файлов обнаружилось, что они скрытые по дефолту. Т.е. на них стоит аттрибут hidden.

И это стоит 2к? Я лучше в ресторан схожу, спасибо


Только сразу возникает вопрос, почему не хватило ума из строчки

attrib +h file.exe




Сделать

attrib +s +h file.exe




Потому что это "скрытое" дерьмо находится по первому попавшемуся в гугле гайду:

Окей гугл, как вынести мусор с рынка

Далее, прогоняем оба файла через DIE и exeInfo:
NotepadHost

Темида и консоль? Где-то я это уже видел

SecurityHost

Вау, не накрытый .Net? Сладко

Меня очень заинтересовало, что файл, который работает с консолью накрыт темидой и я решил запустить его в песочнице и проверить свою догадку:

XMRIG DETECTED

Обычный консольный майнер без вшитого конфига? Серьезно?

На этом моменте процентов 20 из вас уже заранее поняли что находится во втором файле и закрыли статью.

Я, все же, решил протестировать целиком билд на виртуалке. И нашел еще одно несоответствие в описании:

Ложь
Как же вы софт там проверяете?

Майнер-таки видно в диспетчере задач, но почему-то, никто в теме об этом не сказал.

Часть 3. Реверс и темная сторона .NET

Как выяснилось выше, второй файл, SecurityHost.exe является .NET приложением в чистом виде (без протекта). Если вбить в гугл, как разреверсить .NET - первая ссылка будет рассказывать о том, как пользоваться dotPeek'ом.

В нем достаточно нажать пару кнопок и вы получите те самые исходники майнера, стоимостью 15 000 рублей

Priceless? Useless

Разреверсив файл, мы увидим такую картину

Чем хуже гайды по созданию майнеров из bat/vbs?

Алгоритм следующий:

1) Защита от повторного запуска

Ищется процесс с названием SecurityHost.exe, при каждом совпадении инкрементируется переменная num. Далее, если num больше 1, то текущий процесс завершается.

2) Запуск майнера

Создается процесс со скрытой консолью на файл майнера. В параметрах передаются данные от пула (которые, почему-то, вообще никак не скрываются). Процесс стартует.

3) Скрытие от диспетчера задач

Запускается бесконечный цикл, в котором, каждые 2 секунды проверяется наличие процесса диспетчера задач. Если подтверждается наличие, убивается процесс NotepadHost.exe (Xmrig) и стартует задержка в 40 (!) секунд. После чего снова стартует майнер.

Вывод

Подвести итоги я бы хотел цитатой одного знакомого, который в своем подобном анализе очень тонко подметил:

Вот такую низкосортную малварь продают в наше время — не зная ровным счетом ничего об этом продукте, буквально за пару минут был получен исходный код. В самом коде ничего занимательного не нашел. Моя субъективная оценка: троечка по десятибальной.

Ссылки

Исходный код майнера + предоставленный семпл - https://github.com/ims0rry/GucciMine-Miner

Ссылка на продажник - https://vlmi.su/threads/skrytyj-majner-podarok-2-manuala-po-nakrutke-majnerov.9245/

--------------------------------------------------------------------------
Автор @ims0rry

https://t.me/ims0rryblog