• Map Out Your Life in Chongqing 2019-09-18
  • 台湾发生今年第二起里氏规模6以上地震 2019-09-15
  • 谁是女排最大核心?国际排联给出答案 她当选不意外 2019-09-14
  • 婚礼车队国道上占道跳舞拍视频 交警不帅也不美 2019-09-06
  • 端午节首日上海多云 没有雨水适合外出 2019-08-31
  • [图解]汶川震区10年人均收入增2倍,GDP增速高于全省 2019-08-30
  • 高清:俄罗斯世界杯揭幕战即将打响 球馆外戒备森严 2019-08-20
  • 回复@无名小卒也:我只是针对过去的“计划供应”不能很好的满足人们的需求来谈问题,并未否认计划经济,计划经济在市场经济时代,已经转化为政府职能 2019-08-20
  • 人民日报看山西--山西频道--人民网 2019-08-19
  • 淮南华生嘉苑水压低 太阳能进不了水洗澡成问题 2019-08-19
  • 人民网评:汶川大地震十年,那些不能忘却的记忆 2019-08-16
  • 县名解析:朔州山阴县县名来历 2019-08-12
  • 刚被捧上天又遭全网黑,霸屏热搜的杨超越到底怎么了? 2019-08-12
  • 解决争端根本办法是建立机制 而不是利用社会舆论取得某种优势(原创首发) 2019-08-12
  • 《塞尔达传说:荒野之息》DLC“英杰之诗”评测 2019-08-12
  • 浙江快乐12基本走势图:集多种反分析手法于一体,SeroMiner挖矿木马剖析

    浙江快乐彩前二和值跨度走势图 www.qpriv.com 2019-3-15 14:54

    前言


    近期,360安全大脑截获到一款挖矿木马SeroMiner,该木马行为极其隐蔽,为防止挖矿行为被安全人员发现,其守护进程会在挖矿的同时不断遍历系统进程,当发现任务管理器的进程(taskmgr.exe)运行时,会立刻杀死挖矿进程,当任务管理器进程结束时则会再次开启挖矿进程。

    病毒作者除了使用UPX?;た侵?,还使用了一类.Net语言编写的代码混淆器,将病毒??榧用艽娲⒃谝徽臥NG格式的图片当中,运行时从图片中解密出可执行文件并执行,在一定程度上可以绕过杀毒软件的静态查杀技术。

    除此之外,SeroMiner还通过IsDebuggerPresent和检测时间差的方式实现反调试,检测常见的虚拟机和反病毒沙箱,在运行过程中还会检测杀毒软件,在对抗安全分析方面做到了极致。下图是SeroMiner木马的执行流程图:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    详细分析


    newstart.zip


    newstart.zip是一个Autoit脚本,运行后会将自身注册为自启动项"superloaver",并将superstart.exe释放到C:\streamerdata\superstarta\目录进行执行。相关代码逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    代码混淆器


    superstart.exe使用一款.Net混淆器?;ぷ陨泶?,所有的病毒代码均保存在资源里面一张PNG格式的图片中,利用Dnspy查看,如下图:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    从图片中逐个像素点提取隐藏的加密数据:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    将加密数据解密为PE镜像CyaX.exe:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    CyaX.exe


    CyaX.exe会先检测当前运行环境,当自身处于调试,虚拟机,沙箱等环境时,则不会执行后续病毒逻辑。相关反调试逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测VitrualBox,VMware,wine,QEMU等虚拟机环境:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测SandBox和一些常见的反病毒沙箱环境:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    然后创建计划任务实现自启动:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    之后通过将superhero.exe注入到自身内存中进行执行,相关注入逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    superhero.exe


    superhero.exe是挖矿??榈氖鼗そ?,将挖矿配置信息通过base64加密后,保存到C:\ProgramData\jWSZEPNxKf\cfgi文件中,解密后的配置信息如下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测Emsisoft 反病毒软件的相关进程是否运行,如果没有运行,则将r.vbs释放到C:\ProgramData\jWSZEPNxKf\目录下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    之后再检测如下杀软进程并执行r.vbs:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    r.vbs内容如下,会在startup目录下创建一个Internet 快捷方式,实现superhero.exe的自启动。

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    superhero.exe会遍历进程,当发现任务管理器的进程在运行时,则会结束挖矿的子进程,反之则会创建挖矿进程。

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    解密挖矿??榈腜E镜像,并注入到傀儡进程中执行:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    解密函数如下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    病毒作者为降低矿机被杀软检出的概率,使用了UPX?;た牵?br>

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    查杀建议


    360安全卫士已支持此类木马查杀,建议中毒用户安装查杀:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    IOC

    md5

    636f675c5c358af1dc0e9b5287e26e8c
    文章点评
    相关新闻
  • Map Out Your Life in Chongqing 2019-09-18
  • 台湾发生今年第二起里氏规模6以上地震 2019-09-15
  • 谁是女排最大核心?国际排联给出答案 她当选不意外 2019-09-14
  • 婚礼车队国道上占道跳舞拍视频 交警不帅也不美 2019-09-06
  • 端午节首日上海多云 没有雨水适合外出 2019-08-31
  • [图解]汶川震区10年人均收入增2倍,GDP增速高于全省 2019-08-30
  • 高清:俄罗斯世界杯揭幕战即将打响 球馆外戒备森严 2019-08-20
  • 回复@无名小卒也:我只是针对过去的“计划供应”不能很好的满足人们的需求来谈问题,并未否认计划经济,计划经济在市场经济时代,已经转化为政府职能 2019-08-20
  • 人民日报看山西--山西频道--人民网 2019-08-19
  • 淮南华生嘉苑水压低 太阳能进不了水洗澡成问题 2019-08-19
  • 人民网评:汶川大地震十年,那些不能忘却的记忆 2019-08-16
  • 县名解析:朔州山阴县县名来历 2019-08-12
  • 刚被捧上天又遭全网黑,霸屏热搜的杨超越到底怎么了? 2019-08-12
  • 解决争端根本办法是建立机制 而不是利用社会舆论取得某种优势(原创首发) 2019-08-12
  • 《塞尔达传说:荒野之息》DLC“英杰之诗”评测 2019-08-12
  • 0投入网络赚钱 重庆时时彩两星 2元彩票群英会 双色球红球遗漏 新马娱乐城注册 搜狐彩票3d搜狐社区 福彩3d和差积断组技巧 混合过关 2019年神童透码报资料 辽宁快乐12安装下载 杀头杀尾公式规律 云南福利彩票官网 白小姐心水论坛 快速赛车怎么玩 昆明11选5