Анализ скрытого майнера от Hawksh

ims0rry

Предисловие

Пишу эту статью заранее, на случай, если hawksh не вернет покупателю его исходников деньги за нерабочий продукт. Если кто-то пропустил - один чел купил у него исходники паблик-версии и приватки за $5000, а они оказались нерабочими. Я давно и без исходников разбирал этот майнер, но договорился с хавкшом что не буду делать анализ, палить фишки его продукта. Но если он окажется кидалой, то смысла скрывать это уже не будет.

UPD. Возврат в процессе, но статья все равно будет опубликована по согласию покупателя:

Часть 1. Паблик CPU версия от 28.06.17

Этот билд покупал еще я сам, когда только начал продавать свой майнер.

Дается 2 файла, как объясняет hawksh - это защита от слива на VirusTotal.

Exe:

DLL сломано и не отображается в Pe-сканнере никак.

Я человек простой - вижу автоит, прогоняю через exe2Aut:

Оказывается, в дллке заменены первые 8 байт. Открываем в hex-editor и меняем на дефолтные, получаем 7-zip архив:

С start.exe также дропнулся файл CLDebugLog.txt - это распаковщик архива. Как видим в коде, он с параметром в виде пароля от архива распаковывает дллку, далее, в зависимости от поддержки AES на компе, определяется, какой батник запускать.

start.bat:

start2.bat:

SystemCheck.xml:

32.exe:

Снимаем EVB:

Получаем еще 2 файла + распакованный 32.exe:

Checking.exe и msvcr120.dll накрыты UPX:

Как уже очевидно - это консольный майнер. Да-да, консольный майнер под UPX просто запускается с параметрами. Кто-то утверждал, что майнер работает внутри защищенного системного процесса, так вот, хер там плавал, это ничем не лучше батников и вбс.

В 64.exe ровно то же самое, только консольный майнер с поддержкой AES:

Эта сборка стоила 2000 рублей.

Часть 2. Паблик GPU версия от 25.12.17

Эту версию приобрел мой саппорт, но она у него так и не заработала.

Снова 2 файла:

Снова автоит:

И снова 7zip архив. В коде идет проверка на разрешенные видеокарты, далее запрос в логгер, распаковка архива и запуск батника. Чиним и открываем архив:

start_g.bat:

g.exe:

Для декомпиляции х64 автоит файла необходимо воспользоваться этим гайдом по перегону файла в х32 - http://www.hexacorn.com/blog/2015/01/08/decompiling-compiled-autoit-scripts-64-bit-take-two

В коде реализовано скрытие от некоторых программ, предназначенных для мониторинга нагрузки на видеокарту, запуск опять реализован через параметры к консольному майнеру.

Эта сборка стоит 2000 рублей.

Часть 3. Приватная версия от 25.12.17

Эту сборку мне скинул один знакомый, которому она случайно попала на руки.

Дается 6 файлов:

DSETUP.dll и run.exe имеют одинаковый скан:

dsetup32.dll и правда дллка, остальное поломанные архивы.

Прогоняем run.exe через exe2Aut:

Лол

Прогоняем DSETUP.dll через exe2Aut:

Очень много говнокода где, в зависимости от DirectX и разрядности ставится нужный архив. Чиним все архивы и распаковываем (пароль на все архивы - один).

Jun2017_d3dx10_43_x64:

64.exe:

SyncCheck.exe:

Бинго, вот и модуль бота, который стоит 2000 рублей.

start.bat:

В остальных архивах лежит почти то же самое, только все под Энигмой 5.x. В приватке основным криптом является протектор Enigma, никакой защиты от проактивок там нет.

В общем, насмотревшись на это все, я сделал такой вывод:

Эта сборка стоит от $1000 до $4000

Вывод

Хочу передать огромный привет этим ребятам:
Ребята, привет

Ссылки

Исходники + семплы + декомпилированные сорцы всех версий - https://github.com/ims0rry/Hawksh-miner

Продажник - https://darkwebs.ws/threads/25203/

Попытка огрызнуться от уважаемого Mr.Hawksh - http://telegra.ph/Vkruchivaem-BOLT-SPRAVEDLIVOSTI-dlya-1M50RRY-01-17

-----------------------------------------

Комментарий к его анализу:

Постоянно вижу как он говорит о том какой я говнокодер и какой некачественный у меня софт. Окей, ну вот сделал ты анализ, хавкш, назвал меня говнокодером в начале статьи, а где код? ГДЕ КОД-ТО? Ты утверждаешь что у меня плохая сборка, стоит донат (который я попросту забыл вырубить, да, я признаю, он был включен какое-то время, поскольку меня часто просят сделать реф. билды), но не привел ни одного пруфа. С какой совестью ты пишешь что-то про сборку, где есть нормальная проактивная защита, когда у тебя консольный майнер под энигмой запускается передачей параметров через консоль и стоит это чудо $5000.

Я, конечно, все понимаю, но перестань себя закапывать еще глубже. Ты всегда относился к моим замечаниям как-то очень агрессивно, вместо того что бы сесть, и сделать свой продукт лучше, что уже говорит о твоем отношении к своей деятельности.

Твоя проблема (и проблема большинства кодеров) в том, что ты не умеешь адекватно воспринимать критику. Ты оставляешь все как есть и бежишь огрызаться, вместо того, чтоб что-то пересмотреть. Хочешь покажу пример, как надо? Я сейчас пойду, к примеру, и заксорю все данные в майнере, чтоб пофиксить эту уязвимость, спасибо, что указал на нее.