网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
) Y; L- O" j. z) z4 C% |5 T% L% g8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
+ D2 S$ P+ _5 X4 G) u7 u6 f7 W' rGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
: S5 K+ d2 P \7 h2 G' C6 i) Y. q' W; t( D- n; f
$ c3 m! x4 U6 K$ v- $ g. m: U1 c% ?. ^) ]3 G6 g7 r
- " C/ }$ B, o: B/ ?6 @ u
9 q; K: o; i; d0 q% g8 q" ]( t- ) H3 m4 _7 E8 N
* }+ I6 v/ g0 Y4 p8 G- : [5 u/ q9 f# M1 I9 O* V2 Z! L
- / R' U }* m; U
- . \/ b, o6 n, G7 H8 l1 Q6 h
- ( J* v. L0 p9 }) r$ H/ g4 }% s/ B
$ G( R+ a# l0 N) O. K
( v5 L. ]: Z+ ]& l f* M1 M$ L% K, N
% R5 f5 A* S- ~3 ~% D1 A: h Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL( S3 S/ E7 q* u- C( z
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
' n5 P1 n+ I8 q- M" m# A当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
& D- G/ J7 J ]/ A, D. t执行命令脚本时,将执行以下操作:8 a8 |' {% p3 w& M
# g/ w& W# l- |" g ]除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
' | E5 ~9 l8 s8 c/ [1 h[color=#777575 !important]1.Mykings
" f4 v0 Q1 i# j; U[color=#777575 !important]2.PowerGhost# t! ~6 Z. i; z0 o7 P
[color=#777575 !important]3.PCASTLE
' B0 e& B% i* O( }" D" F0 {$ F[color=#777575 !important]4.BULEHERO
$ R: v: T' g. p+ v$ }$ }' b[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid& X. }$ S3 n/ ~
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。8 V0 _ C. W! v s" q: }
 ' M" [7 P1 m% F( R
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
6 S; N2 g2 r. l+ O: U2 T , z2 B+ r6 N I8 r- D8 x
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
/ P+ g& Z0 {" D0 [$ N7 Q除了command和ccbot,“powershell_command”类还包含以下对象:7 i; t* }' }* m2 [2 @& ?& ^6 B
% j# I9 t+ w; ~# x" dMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。" y' n9 S5 _3 Q& G0 ?- B
恶意软件随后将执行以下命令:% e0 |4 G5 t; X4 ]/ [# J/ Z
- j; Z* R" G8 J; ~IOCs
0 y" t7 s4 Z. ~9 U2 I. D+ h) Y
/ Q& M' r9 Q$ t# q6 ?6 C7 Y
% W4 O, W, v8 C% U: S" P: m*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 3 e% ]) {* ]. ~2 i
 7 X+ o# Z- W2 P# w+ `! d4 [+ a
精彩推荐
, y2 \+ ]$ S- d9 J; C' D / N z# b% T+ w8 @6 M, Q- ^
 ) K4 f* Q; D2 m6 A
 % z1 f& L/ x% d# q+ d! R/ A3 Z/ e
; J2 R" A( b3 X+ w* u   - n% @# v8 _2 ^; i Y
1 n S# Z* R! |1 K7 o7 O+ U来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=14 Y) Y) X0 ]1 N! u( g1 {1 n* ], S! M
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
