Анализ скрытого майнера от Hostis666
ims0rry![](https://i.imgur.com/2BzceS4.png)
Предисловие
Билд сам по себе очень старый, мне подогнал его один из клиентов. Продажник был опубликован аж 17.01.17. Но последнее обновление было 03.08.17. Так что, не такой уж я и археолог :D Воспринимайте это скорее как гайд, а не анализ.
P.S. у меня оба билда этого майнера, в том числе и последнего обновления. И оба разберу в этом гайде.
17.01.17
И начнем, мы, пожалуй, с древностей.
Первый билд выглядит вот так:
![](https://image.prntscr.com/image/5kwj6-J0S76V2RrrSAh8RQ.png)
Скан, как видим, за такой промежуток времени очень просел - http://viruscheckmate.com/id/sXpOEv6gDGsO
По детектам уже становится понятно что файл накрыт UPX'ом. Чекаем через exeInfo и DIE(Detect it easy) чтоб убедиться:
![](https://image.prntscr.com/image/WAjxuhVbRX6wM4ZhvD5FZA.png)
Все верно. К тому же, узнаем, что майнер написан на автоите.
Для распаковки UPX лично я юзаю встроенный модуль в Aegis Crypter:
![](https://image.prntscr.com/image/S1JtpsAyS1qWNyNvlzR8yg.png)
После распаковки получаем следующую картину:
![](https://image.prntscr.com/image/cEgDqX6iQT28EZOCL8k4hA.png)
Файл распакован, мы знаем что он написан на автоите. Теперь остается только прогнать его через exe2Aut (сверху очень много мусора, я выделил основной участок кода):
![](https://image.prntscr.com/image/oVk73EInQE2T9YzSMVdxug.png)
Алгоритм таков:
Идет запрос к логгеру -> Создается папка System32 в ProgramData -> распаковываются файлы майнера в зависимости от разрядности системы -> Создается ярлык Security в папке автозагрузки -> Запускается файл Security.exe через команду CMD.
Все эти файлы распаковались вместе с основным:
![](https://image.prntscr.com/image/YpxmgoNAQ6SucJntfVgjHw.png)
Тут находится обфусцированный батник:
![](https://image.prntscr.com/image/BuZg3hO4TDSIU7PZcjRYCQ.png)
Autoit-оболочка:
![](https://image.prntscr.com/image/eKD3BFDKSJW1Dxi53DEr5w.png)
Также прогоняем ее через exe2Aut и получаем исходник:
![](https://image.prntscr.com/image/nOB2OqZ-ThKSfn_rEn9Q8w.png)
Вот тут очень интересный момент. Файлы скачиваются с сайта разраба (типа автообновление стаба). Далее чекается диспетчер задач и уже запущенный майнер, если не находится - запускается батник, который передает параметры майнеру.
И консольный майнер:
![](https://image.prntscr.com/image/QWccbgviQs2u7Lhnrna1PA.png)
![](https://image.prntscr.com/image/yjB5akmOSPev0Xu-ZEhbZA.png)
Довольно примитивно, но и цена на тот момент была соответствующая - 400р.
03.08.17
Тут уже дается аж два файла:
![](https://image.prntscr.com/image/OMsdmqSaQoOSh7C4tW_lpg.png)
Первый, очевидно, для удаления, второй для майнинга.
Смотрим первый:
![](https://image.prntscr.com/image/GlbfzXMWQ46Mazu42pRepw.png)
Смотрим второй:
![](https://image.prntscr.com/image/hAgcnhTmQBmZuwFtrwb24A.png)
Опа, опять автоит. Теперь даже без UPX. Загружаем в exe2Aut:
![](https://image.prntscr.com/image/niyjjg1dQKChOaGnWYc_IA.png)
Мне кажется, или за 7 месяцев ничего не поменялось?
Смотрим распаковавшиеся файлы:
![](https://image.prntscr.com/image/QH4dovFkR9_aJJ8UGS1XOw.png)
Фейк-ошибка
![](https://image.prntscr.com/image/XJddZ88KS0O7rYDLGLVs8g.png)
Запускатор
![](https://image.prntscr.com/image/WTiVJ7hARoaEgKUHJPqt2Q.png)
Дроппер
![](https://image.prntscr.com/image/v7f4hnYdTXifNBeSSlKuVQ.png)
И 2 обфусцированных батника. Видимо, в этот раз, через них происходит прогруз xmrig.
Ссылки
Продажник - http://miped.ru/f/threads/deshevyj-skrytyj-majner.39988/
Семпл + исходники - https://github.com/ims0rry/Hostis666-hidden-miner
-------------------------------
Автор @ims0rry