网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。, M" q2 E# |4 P9 s! T4 h4 u
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
' @( q# O& q( [) SGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
: S4 V6 B; ^- b/ r
8 K/ @% [: E; L. E5 h
# n: D+ U1 V# k' Q# _- " Q. W6 ~; v; C, h! W
7 U) C! h3 P1 W, h" ]) g& @; m
5 a; t: c. D0 _1 U$ _
7 @4 a. T/ b4 h4 i
. k/ _, c* `7 O T; P; [- 7 e! g. V3 l5 D. Q# S
- # `% u7 [6 o& |/ K% r w
- ' _+ T5 `4 a3 Q
6 G7 @5 _3 g; i/ Q, r* d) N
9 j/ m( a7 P2 h# V( o* {: K% }2 B
$ A8 g6 s; M6 B K7 L# d/ F6 U/ P
. x1 p9 D; z: b
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
( W& \7 {1 b0 q8 ]7 s' I9 `FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。 \( p, v* E$ `- K2 O, l6 z% u7 c
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。) X0 K% X2 `# K) q
执行命令脚本时,将执行以下操作:
$ W: ~% ~$ H4 {3 J
/ Y7 S2 A5 }5 V& j. W, q4 Y2 M除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
: D% `1 d! l: N- z: [' I[color=#777575 !important]1.Mykings4 F+ B! B( `/ s9 T+ C
[color=#777575 !important]2.PowerGhost% s4 { \) \. m8 {3 r' w7 ~
[color=#777575 !important]3.PCASTLE2 _: m8 E' ]! E6 t/ n# T0 W/ x
[color=#777575 !important]4.BULEHERO$ |+ b# z& `( b' X0 o% n$ c
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid2 N- S8 O6 K6 X$ }9 }: \
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
6 D: A( k: I+ m7 o$ P7 M/ E! L 8 Z. }% O: {) g' P( ] w
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。/ [, I; Y4 O4 z' X
( _/ R3 C- \) ]" l同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
% F" Y: q0 ]) n& Q+ o7 }9 `! p除了command和ccbot,“powershell_command”类还包含以下对象:) v& N6 u- i; x/ j: Y& D9 ^) i
1 ]# F6 o% x* T/ G2 s0 |Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
, }: v/ Z5 U$ }' f/ s9 }2 w% V恶意软件随后将执行以下命令:" A$ Y) `& ]9 A4 n l4 R/ a( i
' e# S) q8 j: L# CIOCs; G- c' X7 G- W" k' J
$ z+ X5 {$ f( G3 p8 L. P
 + Y" J/ x$ I! x2 e
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM # T+ s1 \# T0 G1 C
5 v% X+ F P5 O6 e, \精彩推荐
7 |$ b! X6 H3 g8 z* _9 O& O: v% Q. r + S3 Y( K& d* T
 ' ~: [6 l e/ ?4 c6 d
# q5 x9 q# t8 e* I+ G, P; z4 {. E 1 h* o4 z0 B m5 V
  
% C) d8 {& Z8 r. w
) c. f2 }/ w/ |. A来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
m7 {2 u# }: E4 M1 i免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
