Анализ скрытого майнера от Hawksh
ims0rry
Предисловие
Пишу эту статью заранее, на случай, если hawksh не вернет покупателю его исходников деньги за нерабочий продукт. Если кто-то пропустил - один чел купил у него исходники паблик-версии и приватки за $5000, а они оказались нерабочими. Я давно и без исходников разбирал этот майнер, но договорился с хавкшом что не буду делать анализ, палить фишки его продукта. Но если он окажется кидалой, то смысла скрывать это уже не будет.
UPD. Возврат в процессе, но статья все равно будет опубликована по согласию покупателя:

Часть 1. Паблик CPU версия от 28.06.17
Этот билд покупал еще я сам, когда только начал продавать свой майнер.

Дается 2 файла, как объясняет hawksh - это защита от слива на VirusTotal.
Exe:

DLL сломано и не отображается в Pe-сканнере никак.
Я человек простой - вижу автоит, прогоняю через exe2Aut:

Оказывается, в дллке заменены первые 8 байт. Открываем в hex-editor и меняем на дефолтные, получаем 7-zip архив:

С start.exe также дропнулся файл CLDebugLog.txt - это распаковщик архива. Как видим в коде, он с параметром в виде пароля от архива распаковывает дллку, далее, в зависимости от поддержки AES на компе, определяется, какой батник запускать.
start.bat:

start2.bat:

SystemCheck.xml:

32.exe:

Снимаем EVB:

Получаем еще 2 файла + распакованный 32.exe:


Checking.exe и msvcr120.dll накрыты UPX:

Как уже очевидно - это консольный майнер. Да-да, консольный майнер под UPX просто запускается с параметрами. Кто-то утверждал, что майнер работает внутри защищенного системного процесса, так вот, хер там плавал, это ничем не лучше батников и вбс.
В 64.exe ровно то же самое, только консольный майнер с поддержкой AES:

Эта сборка стоила 2000 рублей.
Часть 2. Паблик GPU версия от 25.12.17
Эту версию приобрел мой саппорт, но она у него так и не заработала.
Снова 2 файла:

Снова автоит:


И снова 7zip архив. В коде идет проверка на разрешенные видеокарты, далее запрос в логгер, распаковка архива и запуск батника. Чиним и открываем архив:

start_g.bat:

g.exe:

Для декомпиляции х64 автоит файла необходимо воспользоваться этим гайдом по перегону файла в х32 - http://www.hexacorn.com/blog/2015/01/08/decompiling-compiled-autoit-scripts-64-bit-take-two

В коде реализовано скрытие от некоторых программ, предназначенных для мониторинга нагрузки на видеокарту, запуск опять реализован через параметры к консольному майнеру.
Эта сборка стоит 2000 рублей.
Часть 3. Приватная версия от 25.12.17
Эту сборку мне скинул один знакомый, которому она случайно попала на руки.
Дается 6 файлов:

DSETUP.dll и run.exe имеют одинаковый скан:

dsetup32.dll и правда дллка, остальное поломанные архивы.
Прогоняем run.exe через exe2Aut:

Лол
Прогоняем DSETUP.dll через exe2Aut:

Очень много говнокода где, в зависимости от DirectX и разрядности ставится нужный архив. Чиним все архивы и распаковываем (пароль на все архивы - один).
Jun2017_d3dx10_43_x64:

64.exe:

SyncCheck.exe:


Бинго, вот и модуль бота, который стоит 2000 рублей.
start.bat:

В остальных архивах лежит почти то же самое, только все под Энигмой 5.x. В приватке основным криптом является протектор Enigma, никакой защиты от проактивок там нет.
В общем, насмотревшись на это все, я сделал такой вывод:

Эта сборка стоит от $1000 до $4000
Вывод
Хочу передать огромный привет этим ребятам:
Ребята, привет







Ссылки
Исходники + семплы + декомпилированные сорцы всех версий - https://github.com/ims0rry/Hawksh-miner
Продажник - https://darkwebs.ws/threads/25203/
Попытка огрызнуться от уважаемого Mr.Hawksh - http://telegra.ph/Vkruchivaem-BOLT-SPRAVEDLIVOSTI-dlya-1M50RRY-01-17
-----------------------------------------
Комментарий к его анализу:
Постоянно вижу как он говорит о том какой я говнокодер и какой некачественный у меня софт. Окей, ну вот сделал ты анализ, хавкш, назвал меня говнокодером в начале статьи, а где код? ГДЕ КОД-ТО? Ты утверждаешь что у меня плохая сборка, стоит донат (который я попросту забыл вырубить, да, я признаю, он был включен какое-то время, поскольку меня часто просят сделать реф. билды), но не привел ни одного пруфа. С какой совестью ты пишешь что-то про сборку, где есть нормальная проактивная защита, когда у тебя консольный майнер под энигмой запускается передачей параметров через консоль и стоит это чудо $5000.
Я, конечно, все понимаю, но перестань себя закапывать еще глубже. Ты всегда относился к моим замечаниям как-то очень агрессивно, вместо того что бы сесть, и сделать свой продукт лучше, что уже говорит о твоем отношении к своей деятельности.
Твоя проблема (и проблема большинства кодеров) в том, что ты не умеешь адекватно воспринимать критику. Ты оставляешь все как есть и бежишь огрызаться, вместо того, чтоб что-то пересмотреть. Хочешь покажу пример, как надо? Я сейчас пойду, к примеру, и заксорю все данные в майнере, чтоб пофиксить эту уязвимость, спасибо, что указал на нее.
-----------------------------------------
Автор @ims0rry