网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。" ]6 F' d) i4 Z3 O# P0 U. i
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
( m$ l- L$ _& M$ V G$ I. XGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。6 O/ e% E) F1 k2 R: b6 b8 C
T0 A1 _ s8 q& N
" |& o! l, i" ?3 M4 I- p7 Q- U6 A( C' t0 X8 ^
0 |3 Y2 c$ E# n- s. E
2 p8 [4 p7 c% C" M+ b
, u+ t6 R2 O2 _' |- `; b- 6 W- P$ y( ?/ q/ ?
( o0 ^2 _- [; V" R7 F2 V7 D- 9 }' U1 z: w- Y
- 9 w1 @( r: D( o) Y" T, A8 \) M
8 a# D3 i/ f/ v- " C. _+ {0 w) U) N/ i
- + }8 A1 z) b) A$ ]
- - _, P0 S o/ }
- , n* {/ d v5 p
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL$ z- ^. I# f: ~; E" e* J1 b
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
+ r+ l0 o5 [4 p) b6 A# D当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
+ m, {- V- J$ J$ H$ I执行命令脚本时,将执行以下操作:3 w) A- G- U) c
 : U6 U' ]) I8 F( m
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:$ H' Q$ k5 o" j7 y k9 w, o! R
[color=#777575 !important]1.Mykings
$ ~, t6 j2 q/ z: ]* d[color=#777575 !important]2.PowerGhost7 ?' `1 P# k1 t% X% ?% A
[color=#777575 !important]3.PCASTLE' k5 e R# F4 j( P8 k
[color=#777575 !important]4.BULEHERO ^5 c( I- ?7 q- B* O
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
: M8 g( K: j0 o, ]) D7 C0 v wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
% }* V7 k0 i3 Y: c
% u! T1 q4 d# [另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。: |, q" L& X/ ]0 a, B
 ( Z( N, {: m3 R- {* ?
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
5 s) E8 w8 l* A* w l7 p& X1 K- ^! A# V除了command和ccbot,“powershell_command”类还包含以下对象:3 y% U. t$ z1 ~- s; r/ O- n2 H8 ]
4 m9 H, `9 i1 @+ u* J
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
( P4 v: o/ L/ K1 P3 J恶意软件随后将执行以下命令:% J7 F) B2 a+ J) F0 u7 d
 3 D+ G+ P. e _8 l
IOCs
~( z& ]3 L$ e4 S0 k1 s' S: n) ~4 G* o9 g/ Y3 @ X6 e' M
 , z' I- F+ L1 S. a
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
0 N1 f3 J9 U4 f# V6 r( W
* S. L* f7 g2 H9 {精彩推荐
+ s6 N4 {7 q9 e4 j& k4 h# s# ~ : f x- y, _& i+ G; h* a* M
 . L5 Y* a: u6 J; T& n
 5 A! X0 u P0 K1 A
 # Q g: X( l8 s& R1 M4 X+ x) }8 \
   " n# u2 q E; `4 s+ v
5 z8 C- N5 ]8 o( X7 q: Q1 h) Y来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=16 U8 I/ [. F. Z( v }/ f. Z& c
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
