网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。, I7 x' \7 N2 I: r/ g& r
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
9 p0 e2 g: @( P) ?8 |GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
- C1 A- m" k1 O4 I$ b/ j( y; ?4 r- y9 p; R0 j$ s
- ; T, y* |0 T# J
- 9 e6 |; Y. v8 H
. d1 A+ K7 E1 `' z
% `* B+ K# d a' v8 c- ^2 B# l
9 Q7 @8 S! j' Q+ F0 M- " c2 _9 z- e" m1 b- ~
/ G+ E/ \( h1 ]
' U! P2 h6 f6 o+ F% U- / z" h7 p3 |& x/ A& t3 y5 @, F
6 P$ ?) t% Z! k0 z4 }# U
, h; b6 F' Q* k* w) O
* S2 B1 i# u) A n. e
" C' |( w* Q3 S# @ Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
( y3 N- F% |3 ]( p# ^ ^0 PFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。3 y" j0 u3 ~( Y
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。+ C1 N9 w$ ]5 r
执行命令脚本时,将执行以下操作:
" O1 f& K9 m( \8 q' X u, ]& g ; U9 h! @ V/ k2 l" H8 x
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
& W* F2 W1 @7 z# y% k4 k[color=#777575 !important]1.Mykings
4 o. f. z; y2 P5 j; q- |$ v+ a |[color=#777575 !important]2.PowerGhost3 |# `) X* h' p
[color=#777575 !important]3.PCASTLE m2 e0 m- r ~6 h) d2 s% T# \2 o
[color=#777575 !important]4.BULEHERO) L: p+ c: H' ~$ L- F7 K9 J8 f
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid# A- Q: i- E) e0 \
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。, ?0 n J) V M0 V
 ' W/ }! c2 u5 J5 }4 ^
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。% U: J4 @, ? @
& T: i5 D. V% k) a9 x9 r8 m, V同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。8 O3 B$ f8 U! ~" E( N+ r. z4 O' O
除了command和ccbot,“powershell_command”类还包含以下对象:' u; F2 Q5 Q5 l8 N4 o! ]
: }( `4 X3 I6 n1 K! V: l
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
; G$ F4 H/ M1 ]7 @0 h1 O恶意软件随后将执行以下命令:3 Y5 R, N# g$ k" m) t
1 c7 p- \, K$ @, }4 ]# h" \IOCs
4 U) X; n. H# V( M( B
2 r1 }8 y7 j5 B# ]; y1 c
1 V+ o% S& [6 q. Y*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
1 Z+ e' r, w2 S6 K; R
# e$ F$ Z( ~( |5 a/ ]7 E4 e精彩推荐
. R4 K* P; t% G0 D ! R# \. o5 z5 S4 d# ~( U; k
9 c2 @ e" c5 m' j
# [2 i; N' j% d8 M8 v* o/ B o; L# I k8 Q2 o
   / l4 O7 {0 w) g* @6 A
2 S2 y r7 Y8 s/ }! l( a来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=12 X. e# |5 h+ k- M' Q" ], k! z
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
