网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。7 ~/ `% o: R! x5 B$ i
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。: }. B! _! Q' X+ ?; f0 S$ i
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
% z7 ?9 o2 L C X, v, n4 N" o- y8 q' G6 x8 l
5 t* d i* G" w% x% d
) l4 `7 u) d; |5 y# U0 P, E- |- 3 i% o9 J/ p% l" L
- ' D8 F+ U) ^: O3 n: D
. {4 C* k- R' _' `3 `$ |- 1 M, {- X' d4 u, `; t" E
6 L; }# {, O; G4 l1 w# @- ) N1 r. X& |% f. T |
- H3 m; }, f7 \2 ~" _* a
; w; |7 k8 w3 i1 y
- u1 n* h% k- Z7 z+ ^
' [9 L, V* `5 h- F
3 l+ c3 t! {1 j' o Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
2 G2 E# v Z, p0 WFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
( u) b2 t' |3 M x0 W; {# z当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
* [5 M+ B9 g% y执行命令脚本时,将执行以下操作:
0 ~3 J' R3 |5 S5 D% g $ V; C& f$ x$ t- j0 n2 a. v
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
* R5 H% L6 W; y$ `0 O! G1 z[color=#777575 !important]1.Mykings# J- m# o1 J2 N
[color=#777575 !important]2.PowerGhost
1 k k! O' S6 F2 Q" T[color=#777575 !important]3.PCASTLE
: W# x: N" R$ ]% N[color=#777575 !important]4.BULEHERO7 M1 j$ E* N, f, b `8 y
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid1 X6 D J3 @, U2 O; k; C
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。0 \7 W/ }7 u% g: k5 ?
 ' t+ \$ ^4 n1 f" T K' c: d) f
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
" F9 T& Q' C+ i1 r! l. U K& W/ F, S" M7 X* W8 n
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。7 j+ x& ?* q& _+ ]( J) `
除了command和ccbot,“powershell_command”类还包含以下对象:
* Q7 `! _, V7 g; g* E- E0 f( P3 l7 ]2 \( j+ s4 h* R0 O
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
. F7 J, W: M7 `恶意软件随后将执行以下命令:
: x8 G h- e7 X0 \ 0 g, w: d) |5 K! d( {4 f& G: l
IOCs2 W7 X/ [ w- ]/ A) [; [5 ^" C9 N+ N3 [
. p1 O2 H$ [; W3 w0 U3 n8 F" K* K ; M, o$ _1 M& Z# k5 y3 y1 ^
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
6 Q% u( C9 J t# \9 S : D' {# W: x8 F( p: D
精彩推荐
7 u. g9 }4 G2 Z
2 J0 g+ ]8 m1 G" h/ ?' Y$ Q
8 G/ X2 \# ^' J; Y0 x+ i
# j; k% e9 d$ _1 n
# i, J; x9 J. s   9 I& L7 Y" y3 s- l( `
) J( i) [2 B# R# H7 ^来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1; Z( J9 A, B5 s4 Y$ E6 W/ N
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
