网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。5 U S; w8 Q" |! Q' B
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。( t4 z& m" p& [
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。' C* T Z* } y& @5 t! F
- S" F* \+ O+ |- l
- - F/ d) f( [3 i5 y! w3 P
- ! F. B$ r% o" \) R$ X4 q
- / {3 [9 K. X% s3 ^' {
- - B) [% Z3 g# s M Z$ B& `
+ m( ?- D$ G+ `& [ l7 h" A7 ]3 E8 _- : O! \- Z& T- K0 y7 [
- $ m4 t; m4 f5 H1 I/ Y
- + j8 B1 j2 }% o, A
5 r8 h: h. ]6 L" g$ |1 b% z- / A$ J& { y% u+ _# p% b( c: f
- - g( @% k* E: B5 W% b
- ( M ]( N! Y4 k! _
) B4 r2 M; D) ~% @ Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
3 d$ R0 C4 e# b2 V* P vFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。5 h4 _/ ?, F t+ e
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
5 [+ Q7 g5 v& z/ w执行命令脚本时,将执行以下操作:
: C& D; P2 h% d5 |3 e, E/ J$ U! e! y* m * T7 n; P* i& q
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:: p% z- d/ t0 `+ Z
[color=#777575 !important]1.Mykings
0 c0 P8 p3 m0 U( e- l, w. S[color=#777575 !important]2.PowerGhost* w- E; ?. g5 H! I$ D0 r0 Z3 y! c1 D. J
[color=#777575 !important]3.PCASTLE) P/ V4 P" c: R3 N% R6 N5 ]0 s W
[color=#777575 !important]4.BULEHERO( r( h% [) b& _3 J0 G
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid$ z7 l" K* v" o
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。* G1 g% n \5 S1 ?2 x8 s/ Y
/ [/ G( H4 d H) O9 [另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。4 q: ]. {$ T# _! ~. Z. S6 d
 6 v) y4 [6 U( L1 V0 e7 {
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
& Z' S, a3 ~- C' }2 V3 |+ G1 d6 \$ \除了command和ccbot,“powershell_command”类还包含以下对象:5 B$ G: Q( H0 C$ R; S0 p( V5 t
5 o% Y2 H5 _0 M: _; v" I$ gMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。! r# @0 C% y# F" }* G3 b; B
恶意软件随后将执行以下命令:, k. o5 |4 _2 H0 ?6 {0 S. p- M
 8 B! q3 N4 g8 N& {" T- J' s
IOCs4 a2 g5 o# U0 S, v
. D' F8 q- U" W
( D5 H* r8 R* v$ s4 v+ `$ N*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM # a* }8 X: { N \
- @9 p. A Y4 L+ [, X, {精彩推荐
4 \- b u; s9 A: z3 r) ~
, o* [5 r2 |/ ~+ O1 t& y& [7 W7 T
( p% n4 Z. n1 f0 _- u s4 }
, ^6 W- O1 l: e2 j1 Z# \3 A; u/ q2 x 6 W9 y4 b5 X: i
  
T' ]- P- ]9 H; ~9 z
3 ?4 W% |+ ?- J) Z来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
$ z' e5 f! H% {( _. w& ]0 e* r5 n& G免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
