网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
/ c, h* `9 u( @8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
9 n" [& [/ {6 @$ aGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
- m, g# g5 w1 s7 j9 [1 ^
/ u" ~9 b; X6 i- ' h2 c9 Y1 c/ s! n3 H
- : q$ m/ m. o9 m! O% H5 u! i6 V+ _3 _
- / j- F3 H7 Y% j9 @& ~! T8 _, l9 L
$ M9 n a" z- B5 Z$ P8 D6 c# o
- T6 @1 b: Q3 t. w. ]- + j& v( x- { z! ?
- ( S+ {' ]% {0 w# k2 x& @! l* B# ~/ F
/ J9 L( Z9 O% O5 h- 8 m( q) I! j/ e; D& m+ y( V7 f& @
, z9 g, u9 {. k% H5 p0 X
' v$ c. U8 j+ F: H) k" x- $ m% {+ D9 ?' ?0 Q
! p: t4 f! }9 P9 ^% S' o/ C0 I
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL5 z( E2 j. |' n
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
[: y7 k) z- D- ]当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。5 S8 K* P2 @1 J5 u+ Y8 d
执行命令脚本时,将执行以下操作:* B1 q# @0 D; e8 W
$ ~' `! }8 k& e$ z6 d除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:/ U; l3 \2 F( h, v2 e
[color=#777575 !important]1.Mykings+ _( P1 D( U: d) v. R( `9 o. I E6 s
[color=#777575 !important]2.PowerGhost! p: [* x* U% H' o- l# J1 D$ h
[color=#777575 !important]3.PCASTLE# C" h X6 X" y0 p: S- s% u4 l* V
[color=#777575 !important]4.BULEHERO+ O" V/ t5 g- R7 q: a# I$ q
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
4 U4 }9 l+ s5 \' V- W* e wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。; Y, Q; \; O9 u/ h& z4 _% ^+ W
0 ^9 w3 R& M. a6 A. R* V0 v另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
! l3 l) Z$ P4 ^
* h# F% d/ H7 A% _6 P同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。: I0 J4 w \- e) g/ S
除了command和ccbot,“powershell_command”类还包含以下对象:
/ E6 }$ W! @+ `8 ^: h" ^( g2 D" D4 [2 b; ]8 D- Q% F. d
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。) d6 {! S0 S9 i( j, Y; o; G1 Q2 Y, F
恶意软件随后将执行以下命令:7 f5 s J; C: F6 k B
2 V# C0 E' i+ a; l7 N8 AIOCs2 t7 d4 p+ ]- [) n/ {: e3 K
N' o5 G$ e1 S0 T. h1 `
 $ |9 a' n' v3 o4 U; K
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 3 b0 ?$ n9 {8 i! E# x: h! o
 # L+ _1 m1 ]+ E2 @& j8 ^( l& I4 V
精彩推荐
; r7 ]6 j% ~$ v$ Z) h6 u% O
( A! @; u b9 Z0 E. L4 e
& ]2 z; c1 G; P3 q$ Y- E o" i) v8 N
+ o% Y; }7 x' o. ?1 B- u, B
% \; \: D8 ^& t ~( I3 y   5 }* t( _1 S' S4 }, B6 \$ |2 ]
# i5 [! @5 [* W [来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1! w- G1 W8 }& g4 X) o. o [5 W
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
