网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。% C; ]$ E4 Z, L. r
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。/ [$ [' m- t( L7 `+ o
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。9 J% W" c! K0 Q" h2 F' P# l( t
- n3 |, k0 q, ^. `" `! l
$ z5 V6 c( o& F7 v( ~3 z; {
/ @. E) @ b* Q8 b* I6 X( B
2 [' P" |* X: c' {7 y9 F- ' j/ P1 f. B+ o. F6 u- }6 P/ {
# M: U/ s4 C1 h1 f' F7 a" U) ]5 y9 k- ) V* Q' W- N. R7 a, R4 u( X! d
- ! R J: U( x0 X: q+ O' j& N
- " R; E" ?6 B2 N
( u% P6 I$ K& J( `' W- ( f6 P- k& Q. d8 ]& n
9 e- `( `2 v2 b5 b- % M# q1 _; r5 h* F2 t9 _3 d
. K+ a3 ^ q! }9 B Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL, H6 \9 V. S3 |3 L# ~! B' |
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
1 _% Y6 ?. X2 U: t8 ^. w: T当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。, y% k( f; P' d- L
执行命令脚本时,将执行以下操作:5 p* P! e, w0 Q; [1 _
 + x8 p8 K/ |/ Y/ ]2 Z! }
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
; p) k! b; t/ N1 z3 A[color=#777575 !important]1.Mykings
" g. {8 z! e( o2 N7 h& Z6 {[color=#777575 !important]2.PowerGhost
0 f8 r9 [- a1 z# \9 s[color=#777575 !important]3.PCASTLE
/ n' K% Y: A- K9 C. Z& f1 d0 ?2 w[color=#777575 !important]4.BULEHERO
; L2 q- D6 O# ]( ?, q[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid/ i- _4 U2 w5 W- R5 W5 {
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。: r7 h- z5 R8 {; I
 ' T$ @* z% d3 a+ B. v! g
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。3 ]& j7 g& S: r2 {+ G
) _/ ?7 h4 M5 J* n2 K同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
7 D" u+ D) G% g' e除了command和ccbot,“powershell_command”类还包含以下对象:
; U5 m: X; a! L1 z5 z: I
$ w; |" {$ F; b, Z5 ^Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
1 i4 m1 X- d% z9 d恶意软件随后将执行以下命令:
2 J% g, m3 h9 X/ F5 y9 L3 [ ' W( e) t- R: g% ^# B. `( |3 p
IOCs9 a0 d! Y3 p% ~! Y& r% @! w
( T- U& j! U; v- b3 }
 # E2 c$ t: m2 K" b7 h
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
9 [& |0 A" ~9 o) n. R( T
/ v& w3 r9 O; W精彩推荐6 p' d) q6 g/ V1 R5 v
- x* n# m/ h1 d - C( R) f6 }9 `( T
+ a0 n; F0 Q, X 6 B1 f" R3 w8 E; n- |) ^5 b8 J
   ; d* P+ [# e& X- u) n- J
2 N& U, t c* |- M0 a来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
/ l) }# q7 h, k: W. v免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
