• 福州设立知识产权专项资金 年年重奖专利 2019-06-11
  • 最美季节走醉美线路——新疆伊犁大环线文章中国国家地理网 2019-06-08
  • 陈伟霆《一笔江湖》MV上线 走进追寻自我的快意江湖陈伟霆 一笔江湖 2019-06-06
  • 消息称微软新版Xbox主机2020年上市消息称微软新版Xbox主机2020年上市-手机行情 2019-06-06
  • 外媒炒作中国对发展中国家设置"债务陷阱" 2019-06-02
  • 70期:开创了中国人太空“开飞船”历史的刘旺 2019-06-01
  • 南宁召开“四合一”实地核查整改工作布置会 2019-06-01
  • 2018年中国城市信用建设高峰论坛在福州举行 2019-05-31
  • [大笑]你再有水平连盒饭都要跑到教堂去混,又有什么用呢? 2019-05-29
  • 马刺头牌申请交易引4队出击 詹姆斯有望组4巨头挑落勇士 2019-05-29
  • 孙业礼:在“朱德与抗日战争”学术座谈会上的讲话 2019-05-21
  • 朝鲜是否会成为越南或其它国家,都是内部使然,美国的动作不是决定性作用。说的更直接一点,这完全取决于本国工人阶级的马克思主义觉悟,国家是否承认存在阶级和阶级斗争。 2019-05-19
  • 宁波专家送医到广西 为河池9名先天肢体畸形患儿施行手术 2019-05-19
  • 一次金特会能让朝鲜半岛休兵? 2019-05-17
  • 偶像玄幻剧陆续定档暑期 荧屏满溢青春气息 2019-05-17
  • 浙江快乐彩前三组选走势图:集多种反分析手法于一体,SeroMiner挖矿木马剖析

    浙江快乐彩前二和值跨度走势图 www.qpriv.com 2019-3-15 14:54

    前言


    近期,360安全大脑截获到一款挖矿木马SeroMiner,该木马行为极其隐蔽,为防止挖矿行为被安全人员发现,其守护进程会在挖矿的同时不断遍历系统进程,当发现任务管理器的进程(taskmgr.exe)运行时,会立刻杀死挖矿进程,当任务管理器进程结束时则会再次开启挖矿进程。

    病毒作者除了使用UPX?;た侵?,还使用了一类.Net语言编写的代码混淆器,将病毒??榧用艽娲⒃谝徽臥NG格式的图片当中,运行时从图片中解密出可执行文件并执行,在一定程度上可以绕过杀毒软件的静态查杀技术。

    除此之外,SeroMiner还通过IsDebuggerPresent和检测时间差的方式实现反调试,检测常见的虚拟机和反病毒沙箱,在运行过程中还会检测杀毒软件,在对抗安全分析方面做到了极致。下图是SeroMiner木马的执行流程图:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    详细分析


    newstart.zip


    newstart.zip是一个Autoit脚本,运行后会将自身注册为自启动项"superloaver",并将superstart.exe释放到C:\streamerdata\superstarta\目录进行执行。相关代码逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    代码混淆器


    superstart.exe使用一款.Net混淆器?;ぷ陨泶?,所有的病毒代码均保存在资源里面一张PNG格式的图片中,利用Dnspy查看,如下图:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    从图片中逐个像素点提取隐藏的加密数据:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    将加密数据解密为PE镜像CyaX.exe:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    CyaX.exe


    CyaX.exe会先检测当前运行环境,当自身处于调试,虚拟机,沙箱等环境时,则不会执行后续病毒逻辑。相关反调试逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测VitrualBox,VMware,wine,QEMU等虚拟机环境:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测SandBox和一些常见的反病毒沙箱环境:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    然后创建计划任务实现自启动:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    之后通过将superhero.exe注入到自身内存中进行执行,相关注入逻辑,如下图所示:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    superhero.exe


    superhero.exe是挖矿??榈氖鼗そ?,将挖矿配置信息通过base64加密后,保存到C:\ProgramData\jWSZEPNxKf\cfgi文件中,解密后的配置信息如下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    检测Emsisoft 反病毒软件的相关进程是否运行,如果没有运行,则将r.vbs释放到C:\ProgramData\jWSZEPNxKf\目录下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    之后再检测如下杀软进程并执行r.vbs:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    r.vbs内容如下,会在startup目录下创建一个Internet 快捷方式,实现superhero.exe的自启动。

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    superhero.exe会遍历进程,当发现任务管理器的进程在运行时,则会结束挖矿的子进程,反之则会创建挖矿进程。

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    解密挖矿??榈腜E镜像,并注入到傀儡进程中执行:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    解密函数如下:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    病毒作者为降低矿机被杀软检出的概率,使用了UPX?;た牵?br>

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    查杀建议


    360安全卫士已支持此类木马查杀,建议中毒用户安装查杀:

    集多种反分析手法于一体,SeroMiner挖矿木马剖析


    IOC

    md5

    636f675c5c358af1dc0e9b5287e26e8c
    文章点评
    相关新闻
  • 福州设立知识产权专项资金 年年重奖专利 2019-06-11
  • 最美季节走醉美线路——新疆伊犁大环线文章中国国家地理网 2019-06-08
  • 陈伟霆《一笔江湖》MV上线 走进追寻自我的快意江湖陈伟霆 一笔江湖 2019-06-06
  • 消息称微软新版Xbox主机2020年上市消息称微软新版Xbox主机2020年上市-手机行情 2019-06-06
  • 外媒炒作中国对发展中国家设置"债务陷阱" 2019-06-02
  • 70期:开创了中国人太空“开飞船”历史的刘旺 2019-06-01
  • 南宁召开“四合一”实地核查整改工作布置会 2019-06-01
  • 2018年中国城市信用建设高峰论坛在福州举行 2019-05-31
  • [大笑]你再有水平连盒饭都要跑到教堂去混,又有什么用呢? 2019-05-29
  • 马刺头牌申请交易引4队出击 詹姆斯有望组4巨头挑落勇士 2019-05-29
  • 孙业礼:在“朱德与抗日战争”学术座谈会上的讲话 2019-05-21
  • 朝鲜是否会成为越南或其它国家,都是内部使然,美国的动作不是决定性作用。说的更直接一点,这完全取决于本国工人阶级的马克思主义觉悟,国家是否承认存在阶级和阶级斗争。 2019-05-19
  • 宁波专家送医到广西 为河池9名先天肢体畸形患儿施行手术 2019-05-19
  • 一次金特会能让朝鲜半岛休兵? 2019-05-17
  • 偶像玄幻剧陆续定档暑期 荧屏满溢青春气息 2019-05-17