网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
+ p B; m7 g' L! L5 `8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。 ?* d8 _& W7 y; s i0 q
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
( y, l- i$ X3 M3 C$ U
& J( k( e* `, x! Z
4 w' ~4 p s0 l6 ]( ?5 Q* R
9 Q) \. Z$ v: ~
4 [0 l+ _$ e, ?: l9 f5 M+ ~# T5 N
8 f& D7 G+ d r7 O3 _
9 {1 V+ h: ~4 o% M
, M' F R: }; U. z
1 Y" C! z- O0 u |& n. _1 c- ; B& S7 h$ E6 @; K. h2 A
- + O8 D; u3 ]& F8 B' x' i
3 o4 b. N( G6 |! {5 b- y/ q3 |0 t- 0 n7 o6 d2 w1 |4 T
- 3 |2 Q9 D7 }0 H5 k
- 5 M- I! h5 S' ~; r- T8 r5 l/ O7 D
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL% \$ f- C; j5 g3 ~
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
3 t7 l. y! t$ V1 i当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
+ V7 M# f" U8 E$ T6 \, R执行命令脚本时,将执行以下操作:
/ M7 z9 a" \: u- a+ v, y
- z# I6 a: D" Q5 g除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
+ W3 Q+ N7 Q3 A" @. v9 D1 v: |[color=#777575 !important]1.Mykings6 X" w( S ^6 i
[color=#777575 !important]2.PowerGhost5 S9 X* ~. K" T: a0 h
[color=#777575 !important]3.PCASTLE
5 i# S6 a& t' {' o3 b[color=#777575 !important]4.BULEHERO
) S5 Q6 [ z3 Q2 d[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
: |( M+ Q9 l: s& P& t wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
% W+ f2 ^; ~- K! [( B 1 |( a G& h" z. d- a4 I; L
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。. l! `0 ~( a0 Y; m+ J' k# C0 H3 a/ S
 $ J4 F, C- V; @$ |5 Y. y) _
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。1 ` v5 L( D# E* }) W5 R
除了command和ccbot,“powershell_command”类还包含以下对象:0 s% B0 i3 l! P) n1 c1 o5 H. P
$ {% P9 y W5 x% N5 \: i: q2 xMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。) h0 F& n% B( O: b) |4 _3 @
恶意软件随后将执行以下命令:
: i) }8 x5 x7 C. l% D, }
1 K8 H+ n- n0 oIOCs
+ L+ }: e5 ], d2 p) I3 S i* @- o! S+ m
 # }" @3 n# x. [! r }% ^3 c$ t
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
8 q# s2 p% L7 I
; v1 q4 E' e, \. ~! \精彩推荐1 \2 M8 ~1 `0 H9 N0 X5 A
4 v" j7 W2 s4 u9 ]1 Q5 z$ s
8 M' p2 H, q" X* C# l
3 N# E8 B: G U6 x x* S* o+ t2 x; J3 d* c5 b
  
- }3 x% `" V' Y z T6 q) K5 V6 c# W1 ?6 W `$ ?; R) d
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
% M; m( l4 {2 | R! E- S. ]免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
