网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
6 ^' o6 I7 @3 P8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。- R" x8 P8 M7 W {1 d) x- g [
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
8 c3 U& a0 N; s- Z2 q g! F5 g! \2 s/ f
- . ?% k# }' I9 ]' A# s' q
9 X0 k: t, t; ?9 \
l( m( `" m% ~; I: d; C& C# s, i- ( m& ~8 { m0 z5 x* ~# I# K
- 9 p0 l! E9 B5 t# Y3 {
- , u7 N+ T) u: Q& ]9 ^
2 @ o8 P/ x) E! O: Z, t
/ {( @3 o+ U: a) r, U9 P! U; |
8 }! q }. G" D! r) D: ]
5 b% \0 L g2 P |5 i- / N4 b. K0 {. k! Q2 N
$ X H0 q+ j+ O8 r/ ?# k& v9 z
P) Q3 l* z, C; \( _, T* M- V Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL# K2 m [+ V. ?( h, {
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
2 K7 d9 M$ r+ o- I; w当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。: i& a7 O& e5 B8 h% G6 t& Y2 A
执行命令脚本时,将执行以下操作:, J" T& b9 r1 `( r0 \& Y
 $ ?, y: k5 i- t- X
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:3 x/ W' U* |+ D! z
[color=#777575 !important]1.Mykings) ], G: r+ m, T/ o) R$ p- |
[color=#777575 !important]2.PowerGhost G3 Y Q$ O5 }3 r) g$ x( g
[color=#777575 !important]3.PCASTLE
/ b' Z- E! v1 q+ N/ P1 w6 C[color=#777575 !important]4.BULEHERO
6 z0 n" a4 {9 k+ W) V[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid% ^3 o" K/ L" O& Y
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
1 Z$ k9 i. Y& }- X , @: G2 j `4 K/ F8 q6 A4 A
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。2 T; k1 z1 X3 m0 n
 9 N; [0 t4 z, x# v1 g
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。$ ~& W$ x0 E4 J
除了command和ccbot,“powershell_command”类还包含以下对象:3 r- x, P1 V* m! ^/ a
5 e9 K5 b* v) FMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
& x* z# N$ M& u7 b. k4 W! o8 E恶意软件随后将执行以下命令:8 C# L5 |9 H6 y, H3 w0 U9 K4 b
 ; [5 S8 p. V6 R" A
IOCs4 K; S- B9 g1 S, z
( d5 `5 Z- @9 Q' ]
! u! N0 v) Z$ T*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
- } ^9 ^, m" e/ v7 {3 E- F . p7 ?' e V# j% J* @! U( S
精彩推荐
, A( G: |: p+ ]& [- d# F* _ U, G 1 E1 z7 y- q$ }4 F$ V% u
 0 ]; `) `9 L' ]8 Z
 + r* G4 ?6 f7 c7 _( [# G- b' [4 m
 ' |. Y2 q, L6 @+ T4 s; W o
   5 Z* j: J3 e7 p" F3 n; M! }7 Z4 O
* S' ], ^5 n! w来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1. C2 G* J5 e4 V0 g3 G/ T$ q; g
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
