网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。# ~) y, I0 P& C O; N# B
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。& w; R* g6 [; x% ^( W2 P% }) V
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。! ]7 G% @4 R0 y# O' W/ L
: M# Z( H- T! S* ?, e/ I# E2 T
- * B, W6 R4 t/ D9 l3 P6 A- V
8 W) } a1 R; X2 e( |$ t
0 @! m5 ~$ E; T1 U- ; a4 ?# b, l6 B5 w$ \
/ f5 J6 z- L( j' Q- & [! Y: n+ q& ~0 |. x
, C" x$ W8 n& D. `5 J# W, s' h- 8 G+ c% q* N1 b2 g. C8 _
( D8 s0 [4 x1 c! k2 u% Z
% e5 Y- r. L# i! J+ ~' c- Y3 Q- ) |/ C6 e' n9 G. ?+ A
8 X: T5 `# J7 p$ d+ A V, ^( p: Q6 B- ! Y0 \" e; d' t5 L- a
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
4 h0 f! l5 k0 e2 u9 O& b9 i e1 YFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
/ d9 x" B5 L$ X: g当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
8 b; O( Q# E' e4 O执行命令脚本时,将执行以下操作:/ [) s+ ?! C5 n5 x0 Y
- S4 @7 T; e* @/ n( s, I除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
) |! ~9 [- w+ P9 j$ t" ?! J w[color=#777575 !important]1.Mykings6 F( v& ~+ b. R+ b1 o( Y& I$ D
[color=#777575 !important]2.PowerGhost3 w3 e) E! X/ o# E4 l
[color=#777575 !important]3.PCASTLE: K! k- ?. P ?0 _7 ^% G2 d
[color=#777575 !important]4.BULEHERO
5 s$ r* \2 N$ v7 j) [( R1 r* A[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
* E# O, G5 _- ^9 `/ _. J wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。2 r; [# p' n! s3 ^3 k5 S
 / ^+ _4 U1 E6 p& y
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
" W* n+ ]' |' H2 s0 y5 ^! }
0 L% K. t. v# U; l4 t同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。: H q M6 H0 c; x2 M9 r1 Q
除了command和ccbot,“powershell_command”类还包含以下对象:, B* h }1 N4 a) L2 X2 _
- A( R: C. R: x
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
, R( h( Z6 Z7 r# {. [恶意软件随后将执行以下命令:
# {2 t. v( L0 z5 y
, {" h: A' c0 O1 A3 L2 [ FIOCs- L' K7 a3 O- ~
5 P3 B+ {9 l. g1 E! a
8 Z) k+ s6 w/ U" `, U*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM : M( j* T6 L% j! m4 Z" N& G
 6 J" i' s3 |; Q ]$ j" U8 [
精彩推荐
9 Z0 g& x9 C( Z# q+ d& y , ^+ G' c1 Y8 b/ S6 O5 T# f
" j* f( i7 |2 d- M) ]0 W0 K % Z5 _" b* O5 @' U
3 }& m0 m0 {' `& z/ }4 L5 f  
1 l' z- `; d8 j6 J& J" i1 v) V3 n L3 ^- w" ]8 R/ o
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1% T6 b% {* Z6 G- k b/ j
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
