网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。" D' w- z& J y( _: k, S& K
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
. P- ?/ Q& G- a j* J( }; b9 nGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。. p- T, [) O. A6 K: Q
1 n( P! {# p( C/ B5 E- 6 V9 C) B5 e+ u# \7 N( ^
- . e! q% a: S8 n+ Y1 m# ]# l2 u
- ; T* V: S: J# N2 N$ D( |
- ; N' I9 G$ P2 H" F
1 E) U6 M; V3 ?$ |3 c: f+ n- ( G# L+ i6 ]' M
- 3 X4 q" z& B/ J
$ h+ V$ }# l; ~; \$ P, k2 B
9 c5 E. p% b! j9 t1 T- 9 U3 D$ w: [5 z) s* M
* h8 u0 W+ Q, I7 V' K. z
3 g9 ~+ b* X! M, c0 g6 L- 8 R- u$ I8 I$ o" \/ q
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
# ]" l" P. k% f6 a7 h8 w$ A% z/ `FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
* l# f8 a# ]& \2 l当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
n) d( |4 I$ g- {) @. }* O执行命令脚本时,将执行以下操作:6 U- c2 R, @4 g
3 |+ [4 r/ v6 h3 F除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:% i6 G+ j9 r$ d8 l0 r; o s
[color=#777575 !important]1.Mykings
" w' |* M. o9 J- ~$ ]7 a7 B* A% Y; w[color=#777575 !important]2.PowerGhost5 v4 I0 a. ^( @4 w
[color=#777575 !important]3.PCASTLE; o7 D5 ~. q4 K6 P a0 G9 w( v
[color=#777575 !important]4.BULEHERO8 U& U9 s4 g `. C
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid3 e% @ T8 f5 D6 c. r
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
8 D+ V* ^- P- P5 `
: K# t) ^2 U' N6 h另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。! L# J9 x c+ }) i5 h) O
0 G d! l9 a" [5 J% E G同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。+ R, _ L$ Z2 J
除了command和ccbot,“powershell_command”类还包含以下对象:
2 y+ z: K% {3 @9 X% m; u; B( P- t! t8 W( L, K( x
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。% V3 p: _8 D5 z2 g( d
恶意软件随后将执行以下命令: B- l: B- y3 x; v* l
7 i' z* i# i, I) z4 \IOCs Y: V$ Q! j1 q- D t* [4 d0 U
) J, ?( [# O: p' P. p9 D % q% Q( P" H3 X7 l% A# J( E4 ^
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 2 L: e. Y- G; R
4 \+ L" m8 V& `+ `5 B( `$ _' ?精彩推荐
! q# H' s: T& j7 e+ \
: y+ m" O2 c c$ V8 Z5 Y! U9 Z
r V2 Y- t1 ?# |: {2 }# w* i . M6 h9 `+ i/ m* v8 k. ^
! i# y8 w& s8 H+ N0 r5 }  
' m; O" J; O, z5 J a2 A
, A% }- u6 C. ~3 ~. E来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1$ P) j8 c" `! x& l
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
