网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
- K4 a2 H0 J7 l' K. o8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。5 \# \7 i* M9 e+ k% f. I" t) e& F
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
. _/ t. I; w; D8 W2 A8 P7 @
8 F% j6 e# K) t F( \( R+ ~- 7 v/ G" a. p' b- u' {
- + P I( ?0 f* ]3 N/ n
" ^5 R* D9 e0 R) _& d
: z9 B6 ~0 E6 a2 n- f5 X- T
, D. I6 G- E K; T
* w" N4 k$ \5 [, b5 i$ m- , p, R7 v' M) R2 {" }+ R7 O9 h; Q
- `5 ~) F- H: C- I% P( ~
) h$ \" z, K2 M/ i. |
! t& T. X- Y. G, |1 k4 {+ b- / {( a9 X+ k) [5 f3 z1 `
- 1 b& k. E! R: z- z% v
- 6 M: f4 K4 f% }. o; `
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
2 C0 C9 h+ N: V" p, JFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。9 f- o' W! J0 x# q1 V
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。/ M; _- @4 }* Q! e
执行命令脚本时,将执行以下操作:" c ?# g8 ?/ r1 Z% D0 X$ V
0 l- ? U0 R) b& }8 N除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:; u) Y% l. i o; X7 @+ A" h
[color=#777575 !important]1.Mykings
4 \1 G4 Y& w& G0 I8 q6 H" U[color=#777575 !important]2.PowerGhost2 J3 p' e% R( F% a" R- K4 x7 S2 P6 b# R
[color=#777575 !important]3.PCASTLE$ y. {7 ~ |3 b
[color=#777575 !important]4.BULEHERO- A' `$ y9 X2 R4 O3 h
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
5 s+ y$ D% f" f* n, ?! G# e& x wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。% X3 r7 Y5 f( \ T7 Q' T
 3 l0 M3 P0 d6 D" k
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。! z. h" y4 W" ^9 U; Z! `% o
 - l% \$ O1 n( M
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。% A( J/ v$ y$ |) t3 M
除了command和ccbot,“powershell_command”类还包含以下对象:* _; I4 g0 L+ H: `' d" y" E5 c/ u
+ J: }& [* S2 l8 z9 @Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。 ^# {! N3 M; b5 A9 k1 r# r5 L
恶意软件随后将执行以下命令:8 V j$ Y) `* ~2 Z+ R
 / f% G$ |- C0 I% L8 I
IOCs
9 Z6 s/ k I& M( F: h3 M% C- U' _ H2 t5 o
 % s: Z j; i2 l3 a/ U0 S2 I3 w
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
# r. p0 }! G% ~( E # P7 _- h0 f7 v
精彩推荐+ b3 h8 I3 ~3 Z! \$ h
8 Z8 d$ z; z) m6 I% u3 i, l& y- n / A) a* s' {8 G9 q* u9 G& I2 ]# b. Q
! f% R N9 ~) N2 [4 n 2 |( }& q) @" M: o l8 X
   7 O% B3 f/ M) e+ ]' F" ?
" J$ `3 f ^3 G) g1 O6 B
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
; [* T- v/ j% q8 Z) o免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
