网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
* M b' d; x0 F+ c; G; T& q6 v5 w8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。! M: @' f. j7 T& C; T
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。3 \5 m5 ^% g, Q6 A
7 G+ V2 a4 @# \" {9 P3 o1 H
- & m# t- p9 {; B, J, r
, l' j6 N- L, b4 P# e: k- " t" `7 V& X; v! ^
+ h( j8 k) ~5 `; V
( q1 h) N; F& h% Q
% p. L. Y+ q, B. v
9 u8 l& x; t( I! w/ z- 3 ~5 m8 D9 O9 m8 Z0 y0 K$ x! a
6 c0 g$ R# g' s; g9 M: h3 v& L
! t9 p3 E" B# Y4 u( l
/ {& N r, r5 { H& W- T- 0 |7 k4 p$ s6 u" W8 T1 m4 w( Q
+ z2 {7 ~& q3 g1 ]/ f: P Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
6 U$ @5 Y8 N% T/ {FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。8 w% p/ Q r& p6 i& z
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
# s" \9 V) O! U) s3 C8 h2 ?执行命令脚本时,将执行以下操作:5 t2 L8 F% D& f8 t* B/ f
9 w5 f- [* Q" V8 ]! j3 ~ o$ s8 N除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
& I4 v3 d( g: G+ z[color=#777575 !important]1.Mykings
! Q# t# E2 O( m" b2 t$ Y[color=#777575 !important]2.PowerGhost* y1 n; V2 @6 W6 }
[color=#777575 !important]3.PCASTLE$ |' m# }% M1 m
[color=#777575 !important]4.BULEHERO
( D5 V( J0 d* A9 V2 O4 o4 H* U- ~ T" @[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid& w5 a5 Z( D+ ^; o: ]3 P" K
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。7 p! ]* n: [. o) Q" X7 X
5 G5 }) A }7 F; F( S3 _: U1 v另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。6 \) y% A4 U" _. ]& H- j l' `
 ( \% @# l5 o' H" b
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。4 N1 G$ |& S6 r- ]: Z1 L
除了command和ccbot,“powershell_command”类还包含以下对象:" C% @5 P/ D. c' H2 d0 Z) a
/ R* O {% W% p: F
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
5 A' ?4 \8 t2 Y4 o0 x恶意软件随后将执行以下命令:; p" G2 a, J- F7 u8 m* H0 k
 6 _3 [% _$ i. E- T, k
IOCs
1 J2 c3 U/ c( X* e; v @8 J6 T* k1 s; O/ p* T6 w2 n+ D# L
 6 Q+ A) N. U3 _1 y, h
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM " A; Q' c6 O% w0 j% s: k% U ^
7 F7 s4 o: N$ o2 ^0 h精彩推荐
9 `& Q, A7 `9 u: z
, c2 h; A2 X9 J 8 s0 m) @* b c8 O4 b) Q
- f9 e8 E- ?6 N8 h, s Q
9 r& C2 [2 ~. M8 C6 W4 P  
% X! R% C/ }6 Q: @: X6 [& E) w, t, v ]8 s: `4 @
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
8 L/ p7 O/ h8 a7 p1 f3 \- C2 j. _免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
