网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。" n F0 t$ w3 l" J; ~
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。3 U: e* Z7 T% s s
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
! U: \2 N! Q; I6 r
7 \- n7 H. |' Y" q! C
1 O9 Z u7 B) F2 Q5 J! ^
! }2 M" i0 Y3 y& t
" h6 v( V" u$ t$ s1 u- & c* s8 N% c+ ?+ ]% Z/ W
, a0 ~/ w0 s, C' ` b5 T1 |7 {
% d4 A. U/ K2 ]. r% O/ Q& N: S- ' [* @, s* o$ u% x
$ K. w, Z. O' l- 7 k- b& U9 n: A
- + i* \: W, \: x& e
% @* c6 ^5 P) ^2 E9 T' }* C U6 i
6 c: Q+ ?/ s+ [6 c6 K( Y- 6 j5 [$ y5 }* M/ _
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
+ Z3 m1 ?% L4 r" M' jFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
# _. ^, o+ ^9 V Y3 o9 _当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。0 {2 l5 m& o7 N6 p6 Z* k
执行命令脚本时,将执行以下操作:8 d4 f2 V1 k1 L& ^3 n
+ X- D0 U* `7 F: N除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:) N5 `# ^- x! _6 c) J" @6 j
[color=#777575 !important]1.Mykings) H" `7 G4 O7 O) I
[color=#777575 !important]2.PowerGhost
. a+ b; J' V# d( y" X: D[color=#777575 !important]3.PCASTLE
" L) }" e8 A2 M4 s) a# X[color=#777575 !important]4.BULEHERO
& H3 S3 \3 _8 j: _9 P0 w[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
( K1 J7 H8 F- ?; H) j5 k wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
& X' `7 Q2 f+ f. Z1 B1 G4 I ; W/ A) B7 D& D" V2 X
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。$ d `3 `6 e8 @$ _% ^
 & j# V" m3 F/ Q) k1 Q+ Q0 G+ j# K
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
* Y3 t# ~) O( N1 T8 V除了command和ccbot,“powershell_command”类还包含以下对象:
; x1 ?9 L$ F' |# C, z& [6 ?% a$ c& I8 |: c P. G
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
8 \% Z% P8 n' c( S5 p恶意软件随后将执行以下命令:3 j9 m1 O- t4 {1 C* l
5 M: h& f: _5 L0 }IOCs
3 [& r* n4 }3 C o6 b) n* z
# \$ R$ y& W% c' ^- W/ Z
0 ~8 |/ A4 Y9 \2 _8 n*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM ! G; B8 h0 \+ b7 R) ^. t# J) G
 6 F1 U! f0 Q* \5 L
精彩推荐
+ g+ v2 n, h+ ~4 {- h. G. B; M * _* A# H, E6 G- M! @7 A
 ! c; B: [& U o( k. Z) ~
" e7 n1 D2 H+ b0 P$ r
1 q4 f) }$ N, U5 a# L4 X   9 |' G" T @( R3 y
4 B, S" D! x; J( q+ C+ @来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
, a, |/ e0 M3 p0 j免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
