概述：

在上篇文章中我们对StealthLoader做了简单的分析，本文将简要分析StealthLoader加载的StealthBot的内容。

从上篇文章结尾处的load的位置dump出样本，发现此样本有混淆，有反调试，通过与”microsoft.com”尝试通信检测网络;并且获取系统信息，最终释放挖矿程序以及账户配置信息等，通过创建开机启动项等实现持久化。

行为分析：

去混淆后可以更清晰的看出程序的逻辑，获取程序执行的路径

获取两次获取系统时间作差检测调试。

创建子线程，休眠 2147367705ms后杀死当前主进程。

尝试解析“microsoft.com”的ip，如果解析不成功则杀死进程。

一些反调试的操作。

通过子线程获取一些系统信息包括系统的bios版本，核心名等，在system32目录下写入文件并创建系统服务

通过遍历进程列表找到进程中到的指定程序，然后通过发送代码直接到指定驱动程序,实际释放为gmer64.sys程序。

创建互斥体，并创建两个子线程，一个是对进程中做检测，另一个是解密并释放挖矿程序与其配置文件。

Xmrig.exe,具体内容不做分析。

dir.json -- 为配置文件

在注册表中修改开机启动项，实现持久化。

解出powershell脚本并通过创建服务实现持久化

总结：

与常规挖矿套路是相似的，都是为了加载最后的挖矿程序以及配置文件，从而指定到账户。我们防护时需要把相应启动的服务全部杀死，并且将注册表中添加的启动项以及服务中的相应项删除，以免重启机器后自启；检查自己的c:windowstemp 以及C:windowssystm32目录下是否有特殊/异常文件，

Ioc：

ec07adfcdf6e3e4a1e84191eb1cf6a91 StealthLoader.exe a822b9e6eedf69211013e192967bf523 gmer64.sys b179749d5bf92bfe3af4cb0c08916ff5 xmrig.exe 9844b2f687e8628c9514ebb67096397a StealthBot.exe hxxp://2.56.59[.]64/setup.exe pool.supportxmr[.]com:443 monerohash[.]com:9999 User address: 4AeriA3wiocD9gUjiw7qptRDfECriZJac8CgGbfUUPUmMSYtLE43dr2XXDN6t5vd1GWMeGjNFSDh5NUPKBKU3bBz8uatDoC

本文作者：ChaMd5安全团队

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/172435.html