请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册
发布
  • QQ空间
  • 回复
  • 收藏

集多种反分析手法于一体,SeroMiner挖矿木马剖析

2019-3-15 14:54

前言


近期,360安全大脑截获到一款挖矿木马SeroMiner,该木马行为极其隐蔽,为防止挖矿行为被安全人员发现,其守护进程会在挖矿的同时不断遍历系统进程,当发现任务管理器的进程(taskmgr.exe)运行时,会立刻杀死挖矿进程,当任务管理器进程结束时则会再次开启挖矿进程。

病毒作者除了使用UPX保护壳之外,还使用了一类.Net语言编写的代码混淆器,将病毒模块加密存储在一张PNG格式的图片当中,运行时从图片中解密出可执行文件并执行,在一定程度上可以绕过杀毒软件的静态查杀技术。

除此之外,SeroMiner还通过IsDebuggerPresent和检测时间差的方式实现反调试,检测常见的虚拟机和反病毒沙箱,在运行过程中还会检测杀毒软件,在对抗安全分析方面做到了极致。下图是SeroMiner木马的执行流程图:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


详细分析


newstart.zip


newstart.zip是一个Autoit脚本,运行后会将自身注册为自启动项"superloaver",并将superstart.exe释放到C:\streamerdata\superstarta\目录进行执行。相关代码逻辑,如下图所示:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


代码混淆器


superstart.exe使用一款.Net混淆器保护自身代码,所有的病毒代码均保存在资源里面一张PNG格式的图片中,利用Dnspy查看,如下图:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


从图片中逐个像素点提取隐藏的加密数据:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


将加密数据解密为PE镜像CyaX.exe:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


CyaX.exe


CyaX.exe会先检测当前运行环境,当自身处于调试,虚拟机,沙箱等环境时,则不会执行后续病毒逻辑。相关反调试逻辑,如下图所示:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


检测VitrualBox,VMware,wine,QEMU等虚拟机环境:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


检测SandBox和一些常见的反病毒沙箱环境:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


然后创建计划任务实现自启动:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


之后通过将superhero.exe注入到自身内存中进行执行,相关注入逻辑,如下图所示:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


superhero.exe


superhero.exe是挖矿模块的守护进程,将挖矿配置信息通过base64加密后,保存到C:\ProgramData\jWSZEPNxKf\cfgi文件中,解密后的配置信息如下:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


检测Emsisoft 反病毒软件的相关进程是否运行,如果没有运行,则将r.vbs释放到C:\ProgramData\jWSZEPNxKf\目录下:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


之后再检测如下杀软进程并执行r.vbs:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


r.vbs内容如下,会在startup目录下创建一个Internet 快捷方式,实现superhero.exe的自启动。

集多种反分析手法于一体,SeroMiner挖矿木马剖析


superhero.exe会遍历进程,当发现任务管理器的进程在运行时,则会结束挖矿的子进程,反之则会创建挖矿进程。

集多种反分析手法于一体,SeroMiner挖矿木马剖析


解密挖矿模块的PE镜像,并注入到傀儡进程中执行:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


解密函数如下:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


病毒作者为降低矿机被杀软检出的概率,使用了UPX保护壳:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


查杀建议


360安全卫士已支持此类木马查杀,建议中毒用户安装查杀:

集多种反分析手法于一体,SeroMiner挖矿木马剖析


IOC

md5

636f675c5c358af1dc0e9b5287e26e8c
文章点评
相关新闻