网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
; m ?' C6 r( _; N8 ~+ Z8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。9 x/ h2 D. s* G5 J! U3 E
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
3 \7 Q9 Z( W" u" {
" Q2 J9 m" d+ k% y$ P4 ~
% y" N( \$ W3 E/ S" ]) W
' Z7 D7 P/ }- c I( {( F3 J- # {. i2 M5 f3 j+ a8 I5 p' i
2 R, d: |! L y" }
% K2 P7 f* K( v- % Y4 \, V$ K9 p2 ~$ x
3 H+ F5 e! u- r P) N$ M) V
* I; s ?! i4 J1 V8 [9 \- 5 E/ s: Q6 U* P4 K+ I9 J
- & }3 l* I' f4 \
- ( U W {7 B; h3 f- b$ p7 O
- 2 D8 K9 C/ O* G5 V& q, b; c
* }0 N% e" j; m3 N# k: p* O0 v Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
" k3 ^. f8 k- k( z- xFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
# E4 G( g/ C4 N4 k% ~% [当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
+ d& `( R. A" A" C: ^执行命令脚本时,将执行以下操作:( ^; i, Y$ N5 A, ]# |3 y

' W* V( ?! S% y+ r0 d* p除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
3 O( J# l1 q; H; b( ~7 O[color=#777575 !important]1.Mykings
: D7 I4 L Z( V2 b6 d: v[color=#777575 !important]2.PowerGhost
: x7 j- k _/ N% U[color=#777575 !important]3.PCASTLE! \0 K3 l. l6 \6 V! v8 p- n* m2 ^
[color=#777575 !important]4.BULEHERO/ A2 s! }7 m% p( [3 Q
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
, m' P! z8 d9 d' [& E+ k wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。9 B2 p0 t% r/ {& U$ Z: _, F0 U
9 }3 j/ @; U( y5 H
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
; E) E3 h: v* v! I# ` ) i _# ~ h j5 c9 D, }
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。1 F# M: {% R4 u
除了command和ccbot,“powershell_command”类还包含以下对象:
. F4 ~+ \6 ~; m8 R, @& J2 b
% G& @3 u x, E- R6 |9 [' {6 ]Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。$ p* |. d% }7 g2 k; F
恶意软件随后将执行以下命令:
! Y! ?; }$ V# d( {4 M0 j# V! L % S |$ k2 f/ I2 D; ^& y
IOCs( v, D" c# @+ H* H& T
2 p6 K- B% T- [$ _2 W% w1 } , h- K! h, p R* v: a' v
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM / _9 @# r3 d3 N* `1 W# V# ^! A4 e5 ~
4 |3 O1 o5 D' l
精彩推荐- _( B1 ^! c8 i3 G

8 u4 E; w v; [% b9 R
6 `- A; |& O' \" r7 y( O" E4 R * J( p9 w5 y* W; ?
4 z4 p0 e1 P) ]0 |/ a$ |
  
6 b6 S7 J9 `9 t7 I3 T8 Z+ r6 L. v- @# q+ B( a9 U
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
: C7 Y! q2 a( z* l免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |