网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
# G' D0 X. O; D1 p, ~! a2 r/ o/ w0 h8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。0 w, [8 R8 \$ L% I+ C' D$ l/ {
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
0 c* M$ o7 \3 F& s& ~) f8 @ M" h3 o: N* Q! \
7 R9 a) y9 k3 D6 W+ K e# z- ; Y7 Z$ x0 _6 n R" k7 z2 B
$ `3 x/ `: ]' u
a; O5 w( n& |* I. ]- 6 t6 T0 _4 U U; g% p' n
- ) k& ~/ U. x9 G" F3 s" N
- " |' ~) [' N m; G! |% d
- # W. ]. r+ h3 |: O) i
- 9 d3 V( m/ c/ V4 L' _# |
) i' h4 T: j# y6 a. q5 Y
5 S+ U6 g* ?( p1 w
6 P7 r# N5 G$ i$ h- 5 P& k* g' ?# j: z0 v
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL0 v- C4 Z9 r* x9 E
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
8 }& p( D7 A) z5 I. L% y当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
# T3 W! }7 ]* ?; o执行命令脚本时,将执行以下操作:
/ F, N1 y; z* u( ?9 d8 B 2 ~2 x5 z/ L1 b! T# t8 J
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
* k3 c2 x% k5 P2 G7 U[color=#777575 !important]1.Mykings' H1 B8 }% I* l0 n, l& n
[color=#777575 !important]2.PowerGhost
. S W# f9 w, A& m[color=#777575 !important]3.PCASTLE- j# R, M" a. m$ B- | U' m
[color=#777575 !important]4.BULEHERO9 l+ H" @/ N/ O2 v0 [
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid7 D$ b" V1 Q( c. k4 H4 [/ l
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。" K/ t9 _' j4 r1 u* ?
 e; [- h; z/ N
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
) ?1 |+ j- n6 K1 d 5 i# x7 @, ^+ }
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。! v, G) |! H0 z% i0 K
除了command和ccbot,“powershell_command”类还包含以下对象:
: \( \" P3 c2 q' O% j
& B) I* m$ B) a: ^: o2 _Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。4 Q% ]$ ^$ n& H$ n$ \/ d \2 L6 y/ Z
恶意软件随后将执行以下命令:9 Z3 w! Y) A+ c* c% Y
 # p4 {. q0 t/ Y
IOCs
0 t" U/ s+ Z% L# n Q6 _
9 {7 R9 B$ x9 j& t3 |7 y9 ?1 R. j. Q " w3 f7 }: g+ t1 n% g
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM ) Y5 B# C5 @1 Q; _: l+ F- d Q
 9 Z) z+ k F+ l) D# H
精彩推荐
6 s2 ?/ }6 t3 p$ W8 O
4 J' ~0 D. |2 q z0 ~5 C* f4 ^
 . G7 @: t6 s& G8 `( y& I9 @1 s
# X: Y+ A, E$ i q ]  
% V# [) j+ o# Q! f4 L8 h+ V
8 `" X6 Z# N9 }1 D* ?1 |, H! _来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=17 j/ |( `1 Y6 U# u5 j( [7 w3 G
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
