网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。8 m+ i3 L# b! c% c! A6 M
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。7 z2 Q! T8 ]& J* B$ ^' I
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。: O" w# K$ [4 h% K
, Y' R( F8 ?' O( W
7 [" s7 J) i( \- 5 N3 W2 w; }+ B6 q
- 5 C- \& [7 F+ r2 V: B
- / e0 N/ q: ^ @% L( y
- . [7 f* A2 K5 w1 D1 W. C& S: I
- 4 }; d1 @, \: { j; w
/ v5 y; Y7 E+ z. h+ S. G4 ^( i# l( C
' J D3 A- W. ]6 G Q" K( C5 z' Q) W
m+ J/ k/ e' \$ D! {- 0 A0 h# }% `, e& l
- ! j% ]5 k8 H8 d/ P' ]
; K1 K. ?* p( [" b5 `- 7 w3 ?, Y& t% N2 V: p; P
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
3 S0 |/ I; g6 s5 eFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
2 Y: d! ^) I3 o2 X# n G当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
& h" Z/ n' h* w1 m" T" Y执行命令脚本时,将执行以下操作:
2 B! B& x; x0 U " i2 ]& U' b' i% P) ~
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
# |6 A7 g0 `6 ^4 ?7 l: [5 [[color=#777575 !important]1.Mykings) J7 u2 |, {0 e+ a1 P
[color=#777575 !important]2.PowerGhost
: Y# q B' {3 `# k- X2 p/ T% {9 W[color=#777575 !important]3.PCASTLE
/ J y# L1 m8 @$ e# M! j[color=#777575 !important]4.BULEHERO
$ G, a6 ^- _# `5 T# u! n6 q[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid6 A! {( F }; P5 p( p
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。4 J+ [' J' |1 S2 N, D+ C, F
 4 ^8 d A$ r! n% q' ?4 S' G
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
$ k/ D% d2 X) h7 `1 s, H " y7 C( }% j7 _4 o' f! s
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。. [+ x7 {: u! [) I+ s
除了command和ccbot,“powershell_command”类还包含以下对象:9 ?2 F6 |1 {0 d+ K/ F% D
; c7 K1 K* s+ k3 Z/ ~
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
" t8 T) M# R f5 F: s6 q恶意软件随后将执行以下命令:
( }. h2 X) |; w3 s9 b# O 9 a/ X3 a: E3 o% |$ W' [
IOCs( k: P4 q5 m$ |9 E z3 Q4 G, V
3 a5 p3 x$ x, E- K( N5 ?# b
7 ]7 ?9 m2 f- W/ A8 ?8 n0 w5 }9 B*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
V) b, w* @- ^5 d) m% ], ~6 o + ?+ d! k6 U5 @4 c1 I/ u
精彩推荐
1 F1 c1 a; E; ?* Q9 O8 C 7 ?* G* s5 M+ D* q- L
# A8 M/ `2 V5 U4 ?5 M0 k3 K 6 a% } r" b, U' l$ |8 o3 o
 5 k# R, k! p* @6 v
  
' ?$ r$ p% s5 P- o
3 ~3 Z1 X& C% {4 J/ x来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1/ i. U2 g$ W4 @7 e
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
