• 小区麻将馆 何时不扰民 2019-04-05
  • [网连中国]赛龙舟 包粽子 办诗会……全国各地品民俗迎端午 2019-03-30
  • 微信封杀!MIUI下线自动记账功能 2019-03-26
  • 思想与用词停留在三十年前。 2019-03-26
  • 全国移动电话用户14.7亿户  4G用户数达10.6亿户 2019-03-22
  • “两年督遍全国”,期待环保督察常态化 2019-03-20
  • 丽江古城天气,丽江古城天气预报,丽江古城天气预报一周 2019-03-16
  • 秦黎:浅议党的纪律建设实践与发展 2019-03-16
  • 太原摇滚20年演唱会 齿轮橡皮等老牌乐队重出江湖 2019-03-12
  • 修文法院妥善处置一起“误报”被执行人转移财产执行案件 2019-03-09
  • 艺术思考不能做结论式、判断式的表述 2019-03-09
  • 沈杰:在北京打拼的“90后”台湾律师 2019-03-08
  • 藏品快报:如何评价和田玉籽料原石的当下与未来? 2019-03-08
  • 618史上最壕“买家”现身 Google以 5.5亿美元投资京东 2019-03-01
  • 中共武警西藏消防总队二届六次全体(扩大)会议召开 2019-03-01
  • 3d彩宝网直选走势图:集多种反分析手法于一体,SeroMiner挖矿木马剖析

    浙江快乐彩前二和值跨度走势图 www.qpriv.com 2019-3-15 14:54

    前言


    近期,360安全大脑截获到一款挖矿木马SeroMiner,该木马行为极其隐蔽,为防止挖矿行为被安全人员发现,其守护进程会在挖矿的同时不断遍历系统进程,当发现任务管理器的进程(taskmgr.exe)运行时,会立刻杀死挖矿进程,当任务管理器进程结束时则会再次开启挖矿进程。

    病毒作者除了使用UPX?;た侵?,还使用了一类.Net语言编写的代码混淆器,将病毒??榧用艽娲⒃谝徽臥NG格式的图片当中,运行时从图片中解密出可执行文件并执行,在一定程度上可以绕过杀毒软件的静态查杀技术。

    除此之外,SeroMiner还通过IsDebuggerPresent和检测时间差的方式实现反调试,检测常见的虚拟机和反病毒沙箱,在运行过程中还会检测杀毒软件,在对抗安全分析方面做到了极致。下图是SeroMiner木马的执行流程图:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    详细分析


    newstart.zip


    newstart.zip是一个Autoit脚本,运行后会将自身注册为自启动项"superloaver",并将superstart.exe释放到C:\streamerdata\superstarta\目录进行执行。相关代码逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    代码混淆器


    superstart.exe使用一款.Net混淆器?;ぷ陨泶?,所有的病毒代码均保存在资源里面一张PNG格式的图片中,利用Dnspy查看,如下图:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    从图片中逐个像素点提取隐藏的加密数据:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    将加密数据解密为PE镜像CyaX.exe:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    CyaX.exe


    CyaX.exe会先检测当前运行环境,当自身处于调试,虚拟机,沙箱等环境时,则不会执行后续病毒逻辑。相关反调试逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测VitrualBox,VMware,wine,QEMU等虚拟机环境:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测SandBox和一些常见的反病毒沙箱环境:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    然后创建计划任务实现自启动:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    之后通过将superhero.exe注入到自身内存中进行执行,相关注入逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    superhero.exe


    superhero.exe是挖矿??榈氖鼗そ?,将挖矿配置信息通过base64加密后,保存到C:\ProgramData\jWSZEPNxKf\cfgi文件中,解密后的配置信息如下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测Emsisoft 反病毒软件的相关进程是否运行,如果没有运行,则将r.vbs释放到C:\ProgramData\jWSZEPNxKf\目录下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    之后再检测如下杀软进程并执行r.vbs:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    r.vbs内容如下,会在startup目录下创建一个Internet 快捷方式,实现superhero.exe的自启动。

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    superhero.exe会遍历进程,当发现任务管理器的进程在运行时,则会结束挖矿的子进程,反之则会创建挖矿进程。

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    解密挖矿??榈腜E镜像,并注入到傀儡进程中执行:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    解密函数如下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    病毒作者为降低矿机被杀软检出的概率,使用了UPX?;た牵?br>

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    查杀建议


    360安全卫士已支持此类木马查杀,建议中毒用户安装查杀:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    IOC

    md5

    636f675c5c358af1dc0e9b5287e26e8c
    文章点评
    相关新闻
  • 小区麻将馆 何时不扰民 2019-04-05
  • [网连中国]赛龙舟 包粽子 办诗会……全国各地品民俗迎端午 2019-03-30
  • 微信封杀!MIUI下线自动记账功能 2019-03-26
  • 思想与用词停留在三十年前。 2019-03-26
  • 全国移动电话用户14.7亿户  4G用户数达10.6亿户 2019-03-22
  • “两年督遍全国”,期待环保督察常态化 2019-03-20
  • 丽江古城天气,丽江古城天气预报,丽江古城天气预报一周 2019-03-16
  • 秦黎:浅议党的纪律建设实践与发展 2019-03-16
  • 太原摇滚20年演唱会 齿轮橡皮等老牌乐队重出江湖 2019-03-12
  • 修文法院妥善处置一起“误报”被执行人转移财产执行案件 2019-03-09
  • 艺术思考不能做结论式、判断式的表述 2019-03-09
  • 沈杰:在北京打拼的“90后”台湾律师 2019-03-08
  • 藏品快报:如何评价和田玉籽料原石的当下与未来? 2019-03-08
  • 618史上最壕“买家”现身 Google以 5.5亿美元投资京东 2019-03-01
  • 中共武警西藏消防总队二届六次全体(扩大)会议召开 2019-03-01