网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。0 s& @* E, {, h/ v# v
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。3 Q- ^8 P1 l: d0 Y& p5 v' c
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
5 Z2 ]( u; Z& h/ |! H
' n# @7 Y$ R* _/ s
0 y9 X4 P/ L, [# V+ s- . F- j) o; p, c
% O; X. P/ I0 R3 C8 J- u* z0 R2 k( ?- z- ! [$ u% k% R! \0 L! d$ w
/ x+ Z8 ?: M7 w9 M |: q- 7 _ V. Y$ c( Q% i4 V
9 U- M# a5 q8 i' ?- ( R9 ?+ u- I7 k L5 S) I. ^& `
% C4 Q6 O0 J9 @- & O( I& Q& J8 E1 C
# U+ R% Y) P1 `* v+ p( L
3 p7 L& ?$ l' X& |1 L' [
# a* ^' Y0 [& K7 n
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL& l2 w. @; Z* U- v: W* Q* O0 x8 L5 a. M
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
7 ]; k; \+ L+ Y. a! T6 r2 n z0 Z当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
! W4 T* k' Q* r0 K1 m执行命令脚本时,将执行以下操作:& d! X- F, n: s( ? k1 M6 r/ X
9 V& @8 C @9 I& {! B除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
+ j, X' {* V P4 m[color=#777575 !important]1.Mykings
3 t9 u6 f, ? O# i C5 J9 ?[color=#777575 !important]2.PowerGhost- m {) O5 Z& Q& x% p
[color=#777575 !important]3.PCASTLE
- S8 D: ?$ W) e0 O# D1 X[color=#777575 !important]4.BULEHERO5 ?# W- `' V1 I5 f- q0 }% V
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid! _) j& E/ B( J& t9 |
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。' R8 k+ x9 N9 Y- L5 W, A
 - `% q3 {0 ~8 g, q# P9 s E" Q
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
! {1 A( Q( v# d + h" T" f3 m0 c
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。/ q' r7 E# `2 F4 h* ^
除了command和ccbot,“powershell_command”类还包含以下对象:5 L' ^5 N4 B8 l" e+ _: |
& a, n6 A, b7 I& IMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
5 N( v* A. a7 S' z. K& y恶意软件随后将执行以下命令:- @) a$ f8 J" g" r
 ! Z% L% H- ^: g' z( ^+ [4 E
IOCs3 u: s+ B* Y& y& l( j: T
* u" F% b' [( M+ X( H4 i
 5 \, H8 P) s4 ^/ z0 l& i, V6 n
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
/ w& N* @ l7 [# z) h
7 G$ z: I5 | x4 l8 M精彩推荐. w4 D4 c1 D! B! x; G! H6 J( Y
 , I# N4 k5 ?, V2 e+ G4 ^1 Z5 `
. I2 K6 t3 a) z$ d# H * e% G! i% h; ^
 6 |$ Y# w- C4 A4 Y" f' c
   q0 m& `5 z# T+ B0 K" r
! n' B, ~2 j9 C$ t* n来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1* p5 k+ E; \; B5 e, L
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
