网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
6 c2 [1 x$ T0 Q# E9 o) f: O8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
; J' ~3 J- f6 F! e4 zGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
; U: \! A, U) \( Z" C
6 A) P. n1 n) Z( A8 A6 H# s% ^- . E+ J( C. G4 }( V
- ' f& A& F0 s z1 |
- ( d# ~; I+ _$ I$ M i/ |! v2 E
- ! n+ a: _) `0 r
- S% U4 t3 B3 K
- 1 X! j s8 K, k+ _1 Q
5 W$ O3 @( ^5 X
! P8 F4 ?3 E7 v1 v9 l8 R
8 l! o T4 O3 S+ j- , P# s+ q, V4 F9 m
, I: f, k8 D1 g) q+ x3 K- $ R5 P( g$ [7 }/ Q+ R4 Z! s" B$ w
& I! [) X+ _, u: w9 O' F3 ], T
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
& i5 q- j- i5 _8 L: b' SFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
: ^& B' H# n# g: T' p l7 j( V当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
. Y7 x: b7 \! `7 w) i. P执行命令脚本时,将执行以下操作:
6 Q- E$ k6 L; w% S
1 O6 Q. F. r& Q2 r5 C2 J6 j除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如: h% p' m+ f" e6 _- Z" t
[color=#777575 !important]1.Mykings* b4 z0 N/ g1 g% c" C6 @5 l
[color=#777575 !important]2.PowerGhost9 i) h! @& D' T2 ]' F) A2 U& C
[color=#777575 !important]3.PCASTLE
" B' B: m" d+ B0 Q) }7 P: ? N3 R[color=#777575 !important]4.BULEHERO5 Y" m/ A' E! h0 k- r
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid" m5 ?) h( U" o2 W
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
0 b [. q* V0 V0 J E7 s ! U0 Q O9 N; U
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。: F- _1 |4 ~+ t1 \: i6 @
 $ a% a& {, k+ H
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
" }0 r% }7 i/ B8 X' l2 @除了command和ccbot,“powershell_command”类还包含以下对象:! }' s5 V0 n) A6 I/ ~: A
2 u' h8 z6 P6 }6 h. t' O- O9 {Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。, \( P/ s$ F- T
恶意软件随后将执行以下命令:
8 S( Q9 z1 x+ [
: o$ Y4 ~ u3 Y. W6 v/ o- H, a# RIOCs8 G# P, J4 a. M+ n4 v3 k! g
B# N* L3 t- _. Q
' |* t3 j4 w5 T7 w- q*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 1 d$ W5 B& U$ P) H: S [9 `. _6 K
 9 n( j" y1 |. @$ f% A: D
精彩推荐8 w( @# v% p2 }$ |$ J3 ~1 Z- W
 3 A) o1 U; [" e/ \/ B, O, D
 ! _5 G. f1 L2 b" K+ C3 C
0 H2 \) H: O+ |: g7 W
! ?7 l; p1 u6 M4 @0 ?. k   & R1 L4 V M1 z# K, q8 ?( V3 l! r
/ v: @# R( K" ]* t5 f/ M# H% z
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1 B8 e& c, A1 ?" m- U3 T
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
