Анализ скрытого майнера от Hawksh

Анализ скрытого майнера от Hawksh

ims0rry

Предисловие

Пишу эту статью заранее, на случай, если hawksh не вернет покупателю его исходников деньги за нерабочий продукт. Если кто-то пропустил - один чел купил у него исходники паблик-версии и приватки за $5000, а они оказались нерабочими. Я давно и без исходников разбирал этот майнер, но договорился с хавкшом что не буду делать анализ, палить фишки его продукта. Но если он окажется кидалой, то смысла скрывать это уже не будет.

UPD. Возврат в процессе, но статья все равно будет опубликована по согласию покупателя:


Часть 1. Паблик CPU версия от 28.06.17

Этот билд покупал еще я сам, когда только начал продавать свой майнер.

Дается 2 файла, как объясняет hawksh - это защита от слива на VirusTotal.

Exe:

DLL сломано и не отображается в Pe-сканнере никак.

Я человек простой - вижу автоит, прогоняю через exe2Aut:

Оказывается, в дллке заменены первые 8 байт. Открываем в hex-editor и меняем на дефолтные, получаем 7-zip архив:

С start.exe также дропнулся файл CLDebugLog.txt - это распаковщик архива. Как видим в коде, он с параметром в виде пароля от архива распаковывает дллку, далее, в зависимости от поддержки AES на компе, определяется, какой батник запускать.

start.bat:

start2.bat:

SystemCheck.xml:

32.exe:

Снимаем EVB:

Получаем еще 2 файла + распакованный 32.exe:

Checking.exe и msvcr120.dll накрыты UPX:

Как уже очевидно - это консольный майнер. Да-да, консольный майнер под UPX просто запускается с параметрами. Кто-то утверждал, что майнер работает внутри защищенного системного процесса, так вот, хер там плавал, это ничем не лучше батников и вбс.

В 64.exe ровно то же самое, только консольный майнер с поддержкой AES:

Эта сборка стоила 2000 рублей.

Часть 2. Паблик GPU версия от 25.12.17

Эту версию приобрел мой саппорт, но она у него так и не заработала.

Снова 2 файла:

Снова автоит:

И снова 7zip архив. В коде идет проверка на разрешенные видеокарты, далее запрос в логгер, распаковка архива и запуск батника. Чиним и открываем архив:

start_g.bat:

g.exe:

Для декомпиляции х64 автоит файла необходимо воспользоваться этим гайдом по перегону файла в х32 - http://www.hexacorn.com/blog/2015/01/08/decompiling-compiled-autoit-scripts-64-bit-take-two

В коде реализовано скрытие от некоторых программ, предназначенных для мониторинга нагрузки на видеокарту, запуск опять реализован через параметры к консольному майнеру.

Эта сборка стоит 2000 рублей.

Часть 3. Приватная версия от 25.12.17

Эту сборку мне скинул один знакомый, которому она случайно попала на руки.

Дается 6 файлов:

DSETUP.dll и run.exe имеют одинаковый скан:

dsetup32.dll и правда дллка, остальное поломанные архивы.

Прогоняем run.exe через exe2Aut:

Лол

Прогоняем DSETUP.dll через exe2Aut:

Очень много говнокода где, в зависимости от DirectX и разрядности ставится нужный архив. Чиним все архивы и распаковываем (пароль на все архивы - один).

Jun2017_d3dx10_43_x64:

64.exe:

SyncCheck.exe:

Бинго, вот и модуль бота, который стоит 2000 рублей.

start.bat:

В остальных архивах лежит почти то же самое, только все под Энигмой 5.x. В приватке основным криптом является протектор Enigma, никакой защиты от проактивок там нет.

В общем, насмотревшись на это все, я сделал такой вывод:

Эта сборка стоит от $1000 до $4000

Вывод

Хочу передать огромный привет этим ребятам:
Ребята, привет

Ссылки

Исходники + семплы + декомпилированные сорцы всех версий - https://github.com/ims0rry/Hawksh-miner

Продажник - https://darkwebs.ws/threads/25203/

Попытка огрызнуться от уважаемого Mr.Hawksh - http://telegra.ph/Vkruchivaem-BOLT-SPRAVEDLIVOSTI-dlya-1M50RRY-01-17

-----------------------------------------

Комментарий к его анализу:

Постоянно вижу как он говорит о том какой я говнокодер и какой некачественный у меня софт. Окей, ну вот сделал ты анализ, хавкш, назвал меня говнокодером в начале статьи, а где код? ГДЕ КОД-ТО? Ты утверждаешь что у меня плохая сборка, стоит донат (который я попросту забыл вырубить, да, я признаю, он был включен какое-то время, поскольку меня часто просят сделать реф. билды), но не привел ни одного пруфа. С какой совестью ты пишешь что-то про сборку, где есть нормальная проактивная защита, когда у тебя консольный майнер под энигмой запускается передачей параметров через консоль и стоит это чудо $5000.

Я, конечно, все понимаю, но перестань себя закапывать еще глубже. Ты всегда относился к моим замечаниям как-то очень агрессивно, вместо того что бы сесть, и сделать свой продукт лучше, что уже говорит о твоем отношении к своей деятельности.

Твоя проблема (и проблема большинства кодеров) в том, что ты не умеешь адекватно воспринимать критику. Ты оставляешь все как есть и бежишь огрызаться, вместо того, чтоб что-то пересмотреть. Хочешь покажу пример, как надо? Я сейчас пойду, к примеру, и заксорю все данные в майнере, чтоб пофиксить эту уязвимость, спасибо, что указал на нее.

-----------------------------------------

Автор @ims0rry

https://t.me/ims0rryblog