网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。- q! Z$ d3 t) A
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
3 B; V& n, e! L& ^6 K) hGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。# {4 ~/ x, Z- C+ x! |9 W7 s H
7 I+ e7 l, V% E. v3 |7 A; h
- % R9 R8 L* O! q. y2 _/ R
) i, t! J! L- S, d7 _
- _$ L5 H' a/ B& v7 ^# l7 k3 \3 u
& R7 G4 [2 D, s+ _- 8 b, A# d" F' S' B0 S# B
- - J7 n4 [% N6 S1 M9 v1 w$ o, `
- . r( F: m( V5 F$ ]# {* a
* B9 Y) U. p2 @! s# w) q* F* e* G- 0 _2 q8 Y6 b K" }: h# a3 X9 X6 I
( }+ Q6 ]2 ` A0 Z" K
( G& ^& L! O' y) G% U5 l; e- " ~; ]- \( C+ b
- 6 q" f1 V2 ^0 {0 v/ Z, R
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL* w4 u) x ^ v7 D4 m8 {" D
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。) e/ ]" Y9 A d5 f$ G
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。9 [! b" P# \* @2 [6 s3 t1 ?
执行命令脚本时,将执行以下操作:- R2 x! Z6 _3 ~, t" w7 A
 & G$ Q% x S8 o4 p2 g' E
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:7 S5 H' Z. j( X# W9 f
[color=#777575 !important]1.Mykings% ~3 O) C0 t8 e8 m5 q
[color=#777575 !important]2.PowerGhost$ w f& R; Z6 J/ M* i( F- P
[color=#777575 !important]3.PCASTLE: C K. E1 _0 c0 X0 U8 ~
[color=#777575 !important]4.BULEHERO
/ c: |+ H5 b% M7 n E[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
* Q# f, w$ ~0 G c' b wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
5 _5 T5 h1 Q# ~% L: K% z 1 t. H; K, ^9 l. [' I# {
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。' b- B* q% b M% y6 j8 u3 |
 & I1 h4 J0 T: A8 f$ h' O' L9 H
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。2 A2 t( f6 b7 E0 K, y
除了command和ccbot,“powershell_command”类还包含以下对象:
" Q8 O3 f& n2 T2 E0 y: e$ b- \7 \+ _3 @ o
, v7 A8 e7 N) a: E- F2 m2 _) iMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
8 c% l" m, w+ W" j恶意软件随后将执行以下命令:
& \8 q9 }; u# v1 V3 K6 m5 {5 F
. h* S! }" K) l, |9 B0 u+ uIOCs4 D5 J0 l9 K2 R/ m
% w0 g; o& H/ x- h" H
 # ~: p: f9 v p7 l: v
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 5 ^4 a4 h+ ~; u. y' {; k
 ( P/ A4 ]) @% M$ u
精彩推荐
5 C' S9 l& ]; H . k0 O0 a1 E: z* q2 F
 6 i! U2 L2 h& L$ G; `9 @
* G' f* i2 P1 D 2 k: R5 V) l0 H
   % d5 R* I* J% K0 [- Z2 X& o: G
% R; t6 q0 Q; Y2 W& q* W
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1+ e ~2 F+ I+ H4 g* j0 [- K
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
