网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。. d0 |* a+ G P' U5 b- w) H
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。" p* {+ \" Q$ N# Q8 n. o0 O9 N4 ]
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
; k3 M+ `( ~/ p: L- s# \ L1 h; l3 D. W
- ! D, E1 C; o; j4 L8 k' ~1 ~% N
- 6 e1 l3 L/ }- H! |' B) c
- 6 ?& Z0 |. G4 l7 e6 W) ~
. h m, B" p6 x" n
: i Q- W" |) P3 Z+ p# L8 u- 2 a. G" q0 q% N6 j" i9 n6 ]9 b+ \
- 2 u5 A6 G P* w7 j4 B2 }
- ( Z+ A0 [; c5 V! {8 Y
- . y. {7 I- ^% K
8 [; Q; N4 S4 I) P- 3 {' H; D) u$ K4 e% c1 h
8 l- N, ?) s9 O
% i5 ?0 k7 g- c3 s# v Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
0 U/ q4 j9 I" P/ nFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。& _! k* @% H! ~. Y
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
5 \# a8 M3 K o- [( a$ n& |执行命令脚本时,将执行以下操作:- T" U$ k2 C C% u, Z
 5 E+ F& D& K1 w. |1 n' }# r! e
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:9 t) @* i/ {# A: j! ?4 a
[color=#777575 !important]1.Mykings
7 V8 d5 {$ V5 U4 R2 [. \, o[color=#777575 !important]2.PowerGhost7 a$ t2 Z7 E6 T# k2 t
[color=#777575 !important]3.PCASTLE" p# p/ E: E2 N$ c
[color=#777575 !important]4.BULEHERO% y/ t& D+ V+ `, _
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
" z! y- E" N+ K% E( k; M5 J wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
+ Z) u9 O/ s5 O( K/ \ g ' G) P; n: \- m1 C
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。8 ~5 P" e4 G3 h0 Z2 Q8 U
 1 H+ H& D( ?4 e# r5 C' |9 f( l
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
* [3 ?7 r9 J3 J. M8 n9 \除了command和ccbot,“powershell_command”类还包含以下对象:' Y! i. L/ @" {* I9 G* Z6 O
; _& a6 U3 p. IMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。# m. P) J# c& J
恶意软件随后将执行以下命令:
6 O( \7 g* w' c/ t ) D! y& W$ m0 k, n! B/ ^0 ^
IOCs/ N1 l; N9 _! p: Q5 `2 p
$ ^% ~: [# x, g9 r2 E8 w; U, I+ [$ \ ) p( t& q& [( r+ g5 X; T/ o7 @* ~1 p
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
/ C' Z0 e9 a/ @: {; I1 o+ \! e
1 _* p K9 i7 h( Z d4 Z$ d精彩推荐5 U, w3 z! F7 I6 C
 2 h3 x6 n% Q' C5 y
3 C6 r1 w! b, [' D$ L3 @6 | ' F% j) C) n! A& W* B+ @
3 B9 L3 r% m5 H/ o, C& i" M" Y' H  
& m% f; c5 ]9 Z7 t, N. L0 J5 L: G5 C. x
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
, @' V) P5 E3 `免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
