网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。/ q0 a3 C4 z! s. y6 ]
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
" @5 s, f" e& v) m- s7 p; mGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。! P: r: C2 X |9 _, ?
4 g1 s" n2 A8 D( [* k/ y* ]
" y `5 @ E0 v" V
5 Q% @# P4 k) o9 @# k
. x* g7 p2 `* F- ! N! W. {0 V$ B1 J+ |, i& p
- 8 k# o8 y. j6 ?+ C6 t
3 [6 u- E l+ H7 h) ]/ F; Z
4 {3 R6 U* y5 {! b& `- 2 s Y9 _- _5 r; K' E% r5 \# a6 ?4 ?6 v
8 @0 n, D/ J, [. P4 L- 3 K& i! o0 g% w
) G" u9 W W& _ Q) D$ C- + Z* g" x5 C; Y' s k! R0 p& b
- . ?* G5 q( u& B& J
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
' X! ~$ v; @, r& y# a SFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
0 t# X0 }+ g: d2 _# k; R% {8 j当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
& b' n; c' p: h( E" S9 E. r# w执行命令脚本时,将执行以下操作:* K1 i- H( J P" `2 L: o( U
- Y3 P( M3 s _! }/ h8 J除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
9 H/ U) E T' c7 @& j0 X. G# b[color=#777575 !important]1.Mykings9 l7 W1 m2 W9 L7 E8 U
[color=#777575 !important]2.PowerGhost9 h0 L7 P2 I- @4 z, ]
[color=#777575 !important]3.PCASTLE
, n0 l ?. Y) X5 \. s" W[color=#777575 !important]4.BULEHERO9 i, C" b7 ]1 `, n" A' u
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid/ e! z% p7 d7 ]7 J' A4 Y7 Y
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。5 J( n6 }5 ]$ ^* R m* m/ d: D
 . W1 Q+ y2 }7 L5 [" a+ c
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。2 H% _- O' f! {- n9 }! R! f9 O
 ' \7 P, h2 `6 V+ ^- [2 H4 ?
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。/ \, V2 D2 D8 e
除了command和ccbot,“powershell_command”类还包含以下对象:
C0 A/ e" X+ G
0 ^2 B* w! M- L6 o9 _- f4 x2 d/ bMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。. Z r- `5 {+ r" ]9 g2 T
恶意软件随后将执行以下命令:
) N: u* R. Q7 J 2 I- n; M! J+ ]6 r# {# l- ?
IOCs' C, `( O, T1 l5 @, E+ K" o& S
! S' Y7 r. F, {( a
 . J7 d, F( V6 n9 K: _
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 2 E7 v: W4 \# N
% `# M, G- E- \' E( Q! d, T+ z精彩推荐, a# w7 e g# }9 o4 `3 {2 o" ?) X
 % Z$ W5 P5 ^) @9 ^" B; }! B
+ }6 v" c; j) t+ b
5 i* f/ T- G4 u2 t 2 I [% p: n/ H0 D" ~+ t
   , M. B& F: N9 g/ y
: q' y" K1 C' ?, y. Y5 X4 e2 m" o3 y
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
% P# z- |" G3 `4 G免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
