网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。$ E+ T% A o1 s* T& w5 B
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。5 R4 w) \$ c. G( L5 z' P6 h
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
1 N6 H5 I0 t$ k5 V4 q* K: d# M, Q- G. _, b# `9 F/ c; n' p1 E f
2 c8 v5 c- H# o9 ^9 a5 l
# S3 N e1 h7 _2 r( J6 p- 8 B2 @5 e; T- S' D, `% `
- ; d+ S) l: S0 d" w/ [
0 v( g1 c6 @0 _! J) L, ~' |- + M" f$ u+ k/ s8 @: c5 W; {5 q% f m
- - }. _! X8 y+ d# K$ c1 i
8 o* j) ]; i2 y& }
* H, X1 k. p- g3 O+ h5 F% @: b- 6 i0 l8 `) C) h2 t6 ?4 n
- ' r. a' m. w/ a0 }4 ]7 E
t& D$ W, X$ `3 h* n' `5 q" k$ f5 a
' D5 Q4 @( p/ D- t8 H- O& ~ Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL9 q3 F! @6 e# B; A# S# P
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
; k' a$ b+ n2 q( ^$ c: \$ {: u& _8 E8 j当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
" B `; ^9 I0 V# _6 w执行命令脚本时,将执行以下操作:& C0 n) U& Y* \
% T: g4 J* {6 p* R6 W8 q7 i! g除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:0 Q1 |( U( Y8 V: {
[color=#777575 !important]1.Mykings/ {3 l5 d* y+ W4 @7 W; }
[color=#777575 !important]2.PowerGhost( t/ ?1 q% l& K
[color=#777575 !important]3.PCASTLE) P9 O l- B8 Z8 q1 k. h$ E
[color=#777575 !important]4.BULEHERO% c6 G' m) T& h% W6 z
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid# \/ S- y( w* _$ M0 y' t1 h$ ?6 U
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
" @' G k: n2 E! T& @. F) l : x4 D; ^3 U& j# G
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。, n9 E4 m& o8 M& p* p$ X" t/ N
 1 w% K: v5 V6 R. U W7 B" Y
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
) Q% }; H; N, J+ H除了command和ccbot,“powershell_command”类还包含以下对象:
& m$ b9 X) H' T# o# X+ p9 M9 B
1 O9 M! _1 ^1 C4 jMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
# p% T( s* r; L/ i8 V: Q恶意软件随后将执行以下命令:
' h8 ~# a' q1 i: a7 j $ t8 e& n4 M9 |% I# B
IOCs* W1 F: `; k/ G2 [: H4 _
1 A& J" h( s4 x b4 C: l& }
( t; n% K2 {! z*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM + g) h6 p9 f& p* ]" A; i( N
 $ l! X( l! {4 H' k
精彩推荐, d x- j3 [0 m# i+ c
 $ j' m! c: p2 Y7 C+ f, b; A
 6 S G0 Q4 S6 v% x$ l! Y0 P
 * q& n$ m2 R. ^' o7 g
7 | q( O% `; Y8 @8 j   % g& O! S& n/ m( V; @
: a2 C9 v: D/ P9 N( B! G来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1; l, o* d5 v* r$ ^
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
