网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。/ \. D+ q2 d+ j( e, A
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
3 p9 \% t, G. X8 p, bGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。) J; ]) S D; z( [
4 t9 [0 g+ \2 }9 H% \7 F( u- . @$ B9 u' `2 l& N
6 s$ t% i- {8 E1 |6 | i7 h+ Q
& ~* v$ [2 S) K% _0 n
3 A) W2 l8 T/ W3 s. q5 U7 G$ D
8 b, m; [! g& k! @; o" _- " w" s K. y/ y1 D$ y
- . T6 t! |1 y. Z5 D
- 0 h9 R" e. \! p
; L1 Y* A! n( ^1 O
0 }$ u* G$ m( h+ w6 |& i5 Z- ) Q* m, F+ v P9 ]9 P) x! U
- ! r/ D: B0 v4 O6 _8 R- @
- # A* t) F( h A. T: _9 p
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
! K: t; [; F6 zFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。' B C8 C9 G3 W$ s
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。( w" k, @ E0 X. z
执行命令脚本时,将执行以下操作:
8 H; p5 ]% n6 {+ n 0 ^& t# ^0 v+ q5 y9 c9 V
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
3 M s9 j' ~" p! U. h2 [# d[color=#777575 !important]1.Mykings6 Y1 s+ i2 l6 |( D
[color=#777575 !important]2.PowerGhost. c% m* D' d2 \0 N; }6 n, Y1 v
[color=#777575 !important]3.PCASTLE
& d1 ^1 z9 o" x5 _+ g* A) a[color=#777575 !important]4.BULEHERO9 d6 S6 w5 A; S* n' j" o/ E
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
+ v. S( M$ y' Y wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
9 Q% A3 U' @( h" [- [2 F; w & x# T! s, Y) b% k
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
7 f: L7 D3 t- k7 P
. o+ q3 [) X c5 z/ g同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
1 e6 D" o# f" U, c8 z, Z" p- A* ?除了command和ccbot,“powershell_command”类还包含以下对象:
6 L) F4 B' e& y; v2 O2 ]
6 t2 I q; p6 K! j8 k0 U) dMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。; F: j+ k& E! L! @2 n0 y
恶意软件随后将执行以下命令:# ?+ p Y2 c6 Z/ {7 b

2 g- g0 x# S/ B0 d7 G% oIOCs
0 W/ X2 ` Y" {8 T; a- w3 h: K8 J0 B- A" h3 _

m# _5 V: Z. @7 {! ^% |/ `' Z*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM j$ [2 n8 D" P: {6 g

, k& K/ S O6 x5 G精彩推荐6 d, g6 N$ ?: h3 ?3 J

5 T' G( F) J+ p" {) d
8 }# O: L) z* ^3 L& T9 f) x, k / B8 ]/ r1 _' @+ D% d) h. w

% R' s( g! d$ x$ V& H. o' T/ B  ' v$ B3 j* f# E6 G+ }$ m; ~/ M
& z/ e4 b( Y/ n- h5 V$ D, w& {& d1 S! o
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=19 t' L+ r$ R! O3 h* o% H
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |