网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。$ w7 M# S1 W0 D
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
) m* l: } V+ R% X# KGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。- F: U4 Y6 V# ~ K2 v
% K7 x' T7 R+ n1 Q/ w: {- $ s2 d3 e9 U( o, b3 S# L- w4 h
- ; j9 H9 [. l- S8 M, T6 S* c
+ ]; `+ O, f1 n% R9 S- 4 M1 i. ^* S! A/ Q* c3 ~
- $ X) H% p6 }6 t' h( U7 H: r
- 2 @ j- @- ^& N
) K3 z; R7 n( ^' j& m
8 z3 g7 J9 ~6 K
0 W! b$ }: M: ]& L
+ L! _% e5 ` q1 W6 W! R) i) e- : h$ x- H" W q& l' R4 C$ Q
. M5 c# |7 y: ~, [7 a5 O
- [/ Q# y4 J7 e3 k9 ^" ]
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
1 Q7 P; ]! `5 _FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。. ?" r) q, _# |) w. A2 ?! p/ U
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
& q; {5 _ f0 P! v" m执行命令脚本时,将执行以下操作:
1 b9 _. T( j+ o# y; j& w. F+ `1 _ ^ Z% K6 Q, k4 x p
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:9 ^0 X' b7 ?5 L1 J3 _/ u
[color=#777575 !important]1.Mykings
U( R1 L1 r6 p: \! ?[color=#777575 !important]2.PowerGhost
. P) ^/ J2 L' Q8 E/ n# M7 {3 i6 x[color=#777575 !important]3.PCASTLE' V4 z1 j) |( W) M% V* N
[color=#777575 !important]4.BULEHERO
& X: m4 P5 S( R( p5 q[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid$ C4 G$ @" q9 s4 T
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
3 {/ u# G3 n4 I; H/ B
( U: Z1 E6 ?) y另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
- P3 m/ g8 b7 ~; H
, e3 h- j$ E2 b( O9 O$ y2 R同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
4 K% c5 H. q1 l/ F4 v: }$ n除了command和ccbot,“powershell_command”类还包含以下对象:3 Q( v4 o- y0 I* W' l
$ o$ |; p4 q9 r- E" iMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
2 l% W. Z3 C, e# W+ Y5 h恶意软件随后将执行以下命令:1 P8 F1 p" U; T
 9 }9 [& d+ k# G
IOCs1 {: \4 g) V7 C3 n) N E% U, L
1 e1 [4 j+ u1 P( L. o; u4 Q8 I5 w 6 \( y# e8 @; r* `: \! N
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 4 e! W! Y' B6 }
9 G# t$ h7 r! i$ w精彩推荐
2 Y; I B; R+ k 2 G# V6 x* @; ~: U! ^
: z! m5 A8 s! z% m& `3 c+ Z% J2 j. y
+ P: F" [3 y4 S' u$ u4 w 9 p, L {5 g0 ^! d1 Q& v
   5 y" e/ _& g+ y" i. X- p
/ b/ i' M1 S2 \4 A4 n& Y
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=18 Z- {' m' O& B# ~0 h
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
