网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。% u8 ]1 a7 j& c# x6 ~
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
+ V+ R' N% i1 }# R: i4 yGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
" X( ?: m7 r: w4 ] `
& a. a5 G1 t9 v% R. y8 k: m- 4 M0 S( P @1 A$ s, ]6 H
$ {% ]# j$ a6 F V
, }9 @) F4 y$ k; {; V( w, Q" G- 5 e9 O4 Q/ k! b9 Q& ]
- 1 |* w1 f' G9 n" q$ u, h3 N3 U
- - P. D6 }. }- Z7 ?8 _
- # l w: {4 X9 I1 s! J* B
- 9 Q& \7 U1 _5 e0 |" Q! S
- ( R0 a8 D7 S2 f/ i) U
- / Q' g; ]% J3 w0 G7 ^. r
4 p( C, Y0 W2 G/ u j" q- ; I. `& v) l3 y3 O) I+ C7 V; B
- , u0 h7 f9 D- ^! s
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL* x% e1 C% y3 z/ X$ r
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。9 H% C# d4 I0 |% D3 I2 S
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
- k' p; y6 Y( H1 m6 p R执行命令脚本时,将执行以下操作:6 J+ O! b7 ]3 s( N% ^# G! `
 . g/ w2 a; h% Q- I( U
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
; l4 a* a5 m6 _+ A$ I& `# d& Q[color=#777575 !important]1.Mykings
9 m/ W) }; X2 W, {1 h) _$ r$ i[color=#777575 !important]2.PowerGhost
/ s! S) h. L; v: ]. Q% B[color=#777575 !important]3.PCASTLE
8 {3 }* a% @7 q4 p[color=#777575 !important]4.BULEHERO: d8 B2 B; r+ E4 P
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
4 R, p: b6 f& J* t; y$ J wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。; E8 d3 a) D. |3 c& o5 G
 5 X+ L6 a( B+ S N
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
4 L2 Q8 H( ~5 N: r/ {1 i# y9 H
8 N& E) Z. s% w3 S同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。, ?6 P. L, q8 R7 ~3 r
除了command和ccbot,“powershell_command”类还包含以下对象:
! e4 G7 [4 x0 r2 E7 M! p- K; _# G
7 D. ^& h! B$ ]. M% ~7 ?* dMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
: i' J' b3 }& P* H; g4 ]. J恶意软件随后将执行以下命令:
* i5 m. t8 N% ^7 x 9 e; ?" P' K. i1 U! K0 R& ]' w# E0 ]+ ?
IOCs$ S( }$ v* Z: J
% s$ H, t. r$ b$ t, j$ p3 T# \4 r
U& P0 o; [( y: I3 n% I% c( B) w*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
7 o3 G. ]+ B, }" V; [- F6 `& \ * P P% H5 q/ Q# K' J* q4 P1 S8 x
精彩推荐 d6 d4 ]9 t! j9 ~% A4 J
+ b( l9 E9 J2 J
9 E B& d$ D2 f$ g0 w% }! a; h
. A% O( o) ?" I/ @8 z @1 a v/ u. F. f8 ]
  
# n. N* h7 F2 H$ k3 Y3 D, K9 ^$ r, M% \% H
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
, Y7 T5 j# Z4 I8 h. r5 w免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
