Анализ скрытого майнера от Hostis666

Анализ скрытого майнера от Hostis666

ims0rry

Предисловие

Билд сам по себе очень старый, мне подогнал его один из клиентов. Продажник был опубликован аж 17.01.17. Но последнее обновление было 03.08.17. Так что, не такой уж я и археолог :D Воспринимайте это скорее как гайд, а не анализ.

P.S. у меня оба билда этого майнера, в том числе и последнего обновления. И оба разберу в этом гайде.

17.01.17

И начнем, мы, пожалуй, с древностей.

Первый билд выглядит вот так:

Скан, как видим, за такой промежуток времени очень просел - http://viruscheckmate.com/id/sXpOEv6gDGsO

По детектам уже становится понятно что файл накрыт UPX'ом. Чекаем через exeInfo и DIE(Detect it easy) чтоб убедиться:

Все верно. К тому же, узнаем, что майнер написан на автоите.

Для распаковки UPX лично я юзаю встроенный модуль в Aegis Crypter:

После распаковки получаем следующую картину:

Файл распакован, мы знаем что он написан на автоите. Теперь остается только прогнать его через exe2Aut (сверху очень много мусора, я выделил основной участок кода):

Алгоритм таков:

Идет запрос к логгеру -> Создается папка System32 в ProgramData -> распаковываются файлы майнера в зависимости от разрядности системы -> Создается ярлык Security в папке автозагрузки -> Запускается файл Security.exe через команду CMD.

Все эти файлы распаковались вместе с основным:

Тут находится обфусцированный батник:

Autoit-оболочка:

Также прогоняем ее через exe2Aut и получаем исходник:

Вот тут очень интересный момент. Файлы скачиваются с сайта разраба (типа автообновление стаба). Далее чекается диспетчер задач и уже запущенный майнер, если не находится - запускается батник, который передает параметры майнеру.

И консольный майнер:

Довольно примитивно, но и цена на тот момент была соответствующая - 400р.

03.08.17

Тут уже дается аж два файла:

Первый, очевидно, для удаления, второй для майнинга.

Смотрим первый:

Смотрим второй:

Опа, опять автоит. Теперь даже без UPX. Загружаем в exe2Aut:

Мне кажется, или за 7 месяцев ничего не поменялось?

Смотрим распаковавшиеся файлы:

Фейк-ошибка

Запускатор

Дроппер

И 2 обфусцированных батника. Видимо, в этот раз, через них происходит прогруз xmrig.

Ссылки

Продажник - http://miped.ru/f/threads/deshevyj-skrytyj-majner.39988/

Семпл + исходники - https://github.com/ims0rry/Hostis666-hidden-miner

-------------------------------

Автор @ims0rry

https://t.me/ims0rryblog