Блог 360 Total Security

Анализ трояна SeroMiner, объединяющего нескольких антианалитических методов

Предисловие

Недавно мозг безопасности 360 перехватил майнинг-трояна «SeroMiner». Поведение троянца слишком скрыто, чтобы его поведение майнинга можно было обнаружить у сотрудников службы безопасности, его демон-процесс будет продолжать проходить через системный процесс во время майнинга. Когда он обнаружит, что процесс диспетчера задач (taskmgr.exe) запущен, процесс интеллектуального анализа будет немедленно завершен. Более того, процесс майнинга начнется снова, когда завершится процесс менеджера задач.

В дополнение к использованию UPX для защиты оболочки автор вируса использует обфускатор кода, написанный на .Net, чтобы  шифровать вирусный модуль в образе формата PNG. Он обойдет статическую технологию уничтожения антивирусного программного обеспечения, когда расшифрует исполняемый файл из образа и выполнит его.

Помимо этого, SeroMiner реализует анти-отладку через IsDebuggerPresent и обнаруживает разницу времени, обнаруживая общие виртуальные машины и антивирусные песочницы. Он также запускает обнаружение антивирусного программного обеспечения во время работы. И он сделал все возможное в борьбе с анализом безопасности.

На следующем рисунке показана схема выполнения трояна SeroMiner:

Детальный анализ

newstart.zip

Newstart.zip — это скрипт Autoit, который регистрируется как самозапускающийся элемент «superloaver» и выпускает superstart.exe в каталог C: \ streamerdata \ superstarta \ для выполнения. Связанная логика кода, как показано ниже:

Кодовый обфускатор

Superstart.exe использует .Net obfuscator для защиты своего собственного кода. Весь вирусный код хранится в ресурсе в формате PNG и просматривается с помощью Dnspy. Как ниже:

Он извлечит скрытые зашифрованные данные из пикселей на изображении:

Расшифруются зашифрованные данные в образ PE CyaX.exe:

CyaX.exe

CyaX.exe сначала обнаружит текущую рабочую среду. Например, когда CyaX.exe в среде отладки, в виртуальной машине, песочнице и т. Д., последующая вирусная логика не будет выполняться. Связанная логика анти-отладки, как показано ниже:

Он обнаружит среды виртуальных машин VirtualBox, VMware, Wine, QEMU и т. Д.

И он обнаружет SandBox и некоторые среды песочниц распространенных антивирусных :

Затем CyaX.ехе создает запланированное задание для самостоятельного запуска:

Он выполняется путем внедрения superhero.exe в собственную память. Связанная логика впрыска, как показано ниже:

superhero.exe

Superhero.exe — это демон модуля майнинга. Информация о конфигурации майнинга шифруется с помощью base64 и сохраняется в файле C: \ ProgramData \ jWSZEPNxKf \ cfgi. Расшифрованная информация о конфигурации показана следующим образом:

Superhero.exe проверит, что работает ли связанный процесс антивирусного программного обеспечения Emsisoft, если нет, он выпустит r.vbs в каталог C: \ ProgramData \ jWSZEPNxKf \:

Затем он обнаружит следующий процесс мягкого уничтожения и выполнит r.vbs:

Содержание r.vbs показано как на следующее фото. Он будет создан ярлык в каталоге автозагрузки для запуска самостоятельного запуска superhero.exe.

Superhero.exe будет проходить через весь процесс. Как только процесс диспетчера задач найден запущенным, процесс добычи будет закончен. В противном случае процесс майнинга будет создан.

Он расшифрует образ PE модуля майнинга и вставит его в процесс для выполнения:

Функция дешифрования показана следующим образом:

Автор вирусов использовал UPX, защищающий оболочку, чтобы уменьшить вероятность гибели майнера из-за антивирусного программного обеспечения:

Предложения

360 Total Security поддерживают уничтожение таких троянов, мы рекомендуем, чтобы отравленные пользователи установили антивирусное программное обеспечение 360 Total Security и убили троянов.