网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
, s7 a4 O% p3 |/ P, o8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。( \# h8 c0 h$ H' X# k( ?! P
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
' j) a4 i/ F5 r' Z8 l* H* ]4 W/ U: t5 g! N0 }
- 9 L. K& d, V6 g* q& z
- ; j& ]5 t) O8 }: ?; Q9 ~ _' }
- ; H8 r" H4 [* t& g# D: B6 e# ^
- ; i4 { D2 g9 _
6 B$ Q0 i; n3 W8 K( W! S" O
* `; L! R& C$ B9 j; o
; R6 [9 ]: Y1 A( F- m( \3 K; o( s
) u( a$ Y5 Q% Y' a' ?
7 L; d+ ^- { J1 T
5 H7 e. v+ B. B
# J4 f8 A- w+ j/ [# i
+ ]% H9 H; ~& [( D% ~+ n
/ Y8 @/ ?9 a( b- \ Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
: x; t5 m6 ` a7 k$ jFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。' _2 ]' U1 A4 Q9 }1 s& L& v- c
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
3 c4 u+ o3 g, J- a* Y执行命令脚本时,将执行以下操作:# ` f+ E8 F6 h) L. Y
 1 M. h/ N" v9 P3 T3 c) I
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
) J1 ~& ?' _. {: v$ v[color=#777575 !important]1.Mykings" y, x3 ^ \3 B0 V ]5 U
[color=#777575 !important]2.PowerGhost/ `. w# {2 g- y8 \5 l+ F
[color=#777575 !important]3.PCASTLE: ^* g0 l6 R- c- ^& e K
[color=#777575 !important]4.BULEHERO2 I/ R8 U6 \0 ]$ `" e; w+ Q* ` O
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid8 g9 @/ @: n3 i' U
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
( ~/ w2 n! c/ F: R% @1 I6 I" d # y# Y; S) b @+ y+ @: p
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
' ~( @& N+ Q& T! S
) [) N* u& E1 a9 ~& P同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
% @1 }/ {$ x5 l/ `除了command和ccbot,“powershell_command”类还包含以下对象:
9 C* g8 L8 X* e g# ?) e" W' M% `* ~% I! N( w/ [" i
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。; m$ g1 `' Z7 d
恶意软件随后将执行以下命令:
! T2 A+ ~& H3 @$ {; m
- w# d$ E. y0 W, [! c6 {% ?IOCs( D0 h# Y3 w7 m. _2 h/ e
" H+ k) D, o, N- w, x5 I: \- I. A
0 q5 t+ C0 i6 a' e*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM * Z4 e$ f) K* T/ {( L" ^
: d1 w1 H; r- k" y精彩推荐
; n- O3 J: I0 M* r , x- `; \7 f. n" W/ p6 ?* n5 s$ c
 # g" R X8 Y& L3 T2 u
4 Z- A' F( J, o5 _6 q7 ~9 A
( a+ X _# @8 w   5 J) `! H& M; _: K8 a
" k) i, i3 N, p# N5 F( Y( J来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1 s# o# V! J* ` T& p
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
