京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9351|回复: 0

无文件加密挖矿软件GhostMiner

[复制链接]

23

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-10-4 22:35:29 | 显示全部楼层 |阅读模式 来自 中国
网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。" h- P1 E& B5 d3 Z9 p9 d* V( c
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。7 c( d3 T' t+ O( ~
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。2 e, C. n' k6 j; r: d

    $ o9 l8 p/ R! V8 N) ?# L

  • / w+ @) C% _. a2 X
  • " B" V8 n) r6 w# M' g- F1 C8 G

  • . t. U& `/ E3 H0 k- n

  • & y, B1 B9 t/ z& {; }) n7 w9 K

  • 6 }/ _, e, I8 g% r
  • , R3 B8 A% g& v0 o1 ?: V' z
  • # p) h* {: p$ ?6 ]9 K
  • ) m) j, R  g0 G  n. y
  • ( S8 |$ I/ |. O5 E4 p# r1 }

  • / \  g! L& ]' @

  • - f) O2 H! o2 E4 b4 p7 m5 O
  • ' D: J( G  ], }6 Y# h
  • % n) b( f7 x; }" Q$ P# s
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL$ G$ s6 x; e4 W  I3 u8 m
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
6 |' E6 d  Y0 ]6 V. \- F当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。3 D7 G; s& B# R& r5 v
执行命令脚本时,将执行以下操作:; a; j, d- L: Y* W& i. }% O

7 \1 n# K! J1 \" L7 E- r- H除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:2 }3 c& C+ P) _9 O" R
[color=#777575 !important]1.Mykings
7 ]' p" C7 a' ^0 H. D. D& u[color=#777575 !important]2.PowerGhost, J/ e0 d+ I$ G, F/ t+ j  h5 b
[color=#777575 !important]3.PCASTLE2 v# a& u0 s5 R+ [2 {" X9 i
[color=#777575 !important]4.BULEHERO; N2 d) Q2 `7 d9 ?. k" B
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid8 K; [4 K2 [5 t) P" ^) x
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。  c. h8 ~  ^" {* t3 h- T) p% Y
% x3 m& [* K! i& L. E3 l  p
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
$ c; t, O$ \+ v, |, Q: O! p3 ]. v7 U6 A0 E/ J8 c' z% g
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。. K- q, h2 V  a* s
除了command和ccbot,“powershell_command”类还包含以下对象:; Q0 j% x* c( b7 `# g! G: U# j& G4 d

# P) X9 Q. E: [1 C% fMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
9 Y( M1 f8 R/ U5 a$ c5 P5 \; P恶意软件随后将执行以下命令:
, U8 O  t1 y5 \4 N/ C. i7 W" y) I; ~! g1 W' Y- @
IOCs
/ x+ D; h1 E* i0 z+ n1 k) Z
- o0 q& w0 n5 b3 @6 l( j3 i
) C" T3 a( z. i$ O  h/ w, a8 Q. \
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM

9 a( l) ^! R2 \; F! @
) t; [5 E& W+ x7 R精彩推荐0 J3 f6 @4 d1 i& H8 j# p
6 n" }7 |! {2 Y" n2 ^# F

5 R) ?% e  j" G, W% ?/ I. R# \' v/ j( S" R7 @8 n- M( K

9 j8 G  C. D9 r! `! j; x$ r; f+ v/ f
3 _7 [4 Q; e  J9 a9 e- n
来源:http://mp.weixin.qq.com/s?src=11&timestamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=17 l9 j) K% M! s( O5 H
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-16 04:15 , Processed in 0.046039 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表