网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。- Y1 c* Y4 N: o6 A4 A
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。9 ~& m3 a* g# D8 k
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。& F/ h [" y/ [' |# B2 u: W9 Z
( t& c, t+ | m8 N# F4 d0 F- 9 _( D `4 k5 a/ \' ^& v/ N
! S& z3 n g! n/ k7 Y; X" X
7 g& l7 |6 _: Q+ V. U! T- q
0 G7 {) b$ O! J' ~( t- $ C8 N3 i, I! W. u
5 K {3 F- s3 O# L$ M
* K9 P! x% F6 K* y2 n! q& \* }
# u3 x' x1 |9 S1 Q; B7 v- 2 L7 l; U8 X+ y
& {+ R' C/ P0 ^1 y- ' e3 v O5 @0 |$ }$ l i
- `& G" g, E9 ~4 x6 h- _# m
% H# n* P7 l; a6 _7 Q' _
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
( C" T" k% S2 H6 l* a7 c. u: UFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
& n2 ~0 `- Z& e8 [$ H当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
5 B0 X) R( A; o! h; T+ y; ?. j. s执行命令脚本时,将执行以下操作:
8 h+ ?( Q6 u' z! r2 r
7 g2 d& E! l7 s9 `* W! ^除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:$ H. A0 d" ?9 X4 [/ D7 b
[color=#777575 !important]1.Mykings7 ]' D* h! ^+ F$ K
[color=#777575 !important]2.PowerGhost4 n: _* L' o P6 p6 k
[color=#777575 !important]3.PCASTLE
7 i7 c. i; K7 }# @[color=#777575 !important]4.BULEHERO
& }# K& |% a% ]* I4 \; [& Y[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid* i( @( A+ i* B
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
+ s( e& D/ A- q$ u: Y
( G3 C' ?. u9 ?0 [: H+ R6 G0 b* b另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。! x) n* a% l$ I+ m$ n
( L5 Q# Z' Q# [% |! T2 }" d同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
0 n1 N7 b. v9 f( Z除了command和ccbot,“powershell_command”类还包含以下对象:
7 {1 `$ i! |0 n& G9 ^7 O8 a% ? f2 W, N( ?
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
' ~) m! @( M* o4 g0 y- N3 C Q- R6 k* U" @恶意软件随后将执行以下命令:# H( a* C; g! N/ S; a p0 }
, v. j, {. E$ n5 ?: NIOCs- f h6 Y. c" P0 K( H+ A
' F- `# Z& c! U; a1 n
3 c' R1 c# c- L/ T3 ~6 o*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
: [# F0 f/ Z7 J1 ~7 P# P 0 B* [1 B6 `, N5 b6 U E( F
精彩推荐) i1 i4 {, l+ Z+ `- R! i
 " v* \/ [2 Q: w" w, B! i
 " }! O" n/ p$ W
0 P6 M9 V3 w& z4 w% a; Z. w6 n 3 B9 v1 K% [2 i; P
   1 X$ s1 ]: b2 g( u4 H
5 r b+ M4 S4 j ]0 e$ `
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
+ P8 ]% B1 c; L! i; q9 x3 _免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
