网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
; P+ ?) N/ A( y8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。6 d3 _$ v' k" U5 C R- [- U
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
# R S5 h- p: e8 a* l
' C0 U0 z% \' ?2 u0 r3 w/ p
F9 j2 v5 j e) T
6 y9 z- d" X: N" m% p' k
+ P7 t) m2 m7 c' E: A
. n" V% u4 L; I- ( U. @ A& S& R! P! w) `+ ?- P
- - R7 h! L7 ?0 d% r' q6 O/ d# A* \0 G$ U
- 5 y( ^9 \- ~+ s. V) \$ W
- 1 j% o/ H1 m- S1 f( s
- 0 _/ m1 J3 d. x2 W d
; r0 W$ }8 M7 P9 M
7 _3 B* o+ B5 n) _- ( `3 {5 J4 h) p7 ~- a# h
" K$ S. I0 S5 m" x
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL+ `9 x7 {* P: ], K
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。0 j4 h# p+ {( E1 I8 M
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
% H! K: j& F7 C; n5 }执行命令脚本时,将执行以下操作:" k3 h# W2 w4 G2 K# B
8 v6 y' P! O* m& {% S/ |# j( X除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:$ p' Z7 {5 T: G' u9 m- @
[color=#777575 !important]1.Mykings
/ B. X2 X" `8 v" g% U" ]( R- I[color=#777575 !important]2.PowerGhost
0 z1 u( q+ D" O[color=#777575 !important]3.PCASTLE
' P: k& W% ?& o: r[color=#777575 !important]4.BULEHERO+ ^: ?8 I2 w& [! R+ b* @0 H4 n& q
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
" ~$ C7 X0 f. I4 _/ Q* }( o4 f- @ wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。* c$ C' I& v2 ]
/ T& Q9 w" t( q# \/ m# P另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
0 Z! n7 u$ ~( I4 A7 U. E ) ~7 S% o/ M: J1 z: s _: z' h
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。% o8 ] V* S C' z F
除了command和ccbot,“powershell_command”类还包含以下对象:1 s/ [1 m' J `( m& y) ]
5 k* m6 T4 @2 P) d9 f- ~! z% RMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
( R* Y1 X) e( X- W* J恶意软件随后将执行以下命令:! e* ^0 V9 A, D
 . a3 {/ Z; S7 Z+ u6 C1 w/ }
IOCs
5 H0 ?% [1 s/ ]% q' n. M, z/ b4 {6 U" G, f% v# L8 S; r
 # \2 D3 M* m+ T% P) n) K
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 4 W" D4 D' m" E1 n
: P. ?8 A* }1 p$ D精彩推荐
! p6 H6 p o7 g) F" N : @, k: X1 `7 u* v- k
 : P- k' ~5 z( _- U4 i' E' G
 $ P' O! O( L: h
 ( ^. [* `4 ^$ U. r! e+ x. f
   1 k9 Y9 d3 x+ Z# o" X
9 g9 b4 B0 x8 o; u
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1/ `+ b+ u6 t3 i. c4 Q3 K
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
