网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
4 g$ T) ]" H+ b) `7 {& a+ s8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
7 ]1 q- R3 E% Y" V2 T% P t9 pGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。% M0 Q8 ]- G0 d( w- t6 L; u
& ^- q0 p$ N# u% D
, g- [9 g+ W. ~% I4 g
w4 k+ f1 W1 L" |
3 u" D. u& Z S2 U2 s- " i9 x8 Y+ l% n+ v
- % L! M! x- {; `6 T, v+ N
- : N' j* u5 J3 Z7 w5 H
! D. e9 t3 h, a4 m
! O, V T) e, @$ o3 x( [- a- ( b# t. G" v* C9 n
- . f' b' q7 }5 d5 D S
- , q/ |% y+ O% B X& s. F
- 8 X; b1 E5 e" ?, Q! o: a$ M& C
* M( K# p% D" |! h- Q Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL4 K( ] u: Z) t# k
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。- d8 O9 T$ |" T- \: S% b8 `& C; Q
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
7 X& r* d+ x) v9 _2 T! j执行命令脚本时,将执行以下操作:/ F/ i6 Y+ |% g6 r4 K0 P" l
 : A. g7 Q+ o) T" u l4 c: C5 e8 i
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
& g/ F8 c$ y& [/ w[color=#777575 !important]1.Mykings
: r; F$ g0 R1 J6 R, O5 ~[color=#777575 !important]2.PowerGhost$ v" |$ H# C/ _" e& M' m8 e
[color=#777575 !important]3.PCASTLE
" U2 z1 S2 o. P( R5 s[color=#777575 !important]4.BULEHERO6 i" Z" W# t0 p: u6 s
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid g, ?& L4 N" {5 v5 w$ R+ `9 i
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。. o1 Z2 G' V& f* }4 j* D
/ N; @) X) v6 `另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。) Y" k, N& T; E2 m' \
% L+ A( p0 q! R( N D4 l' `. N同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
3 o( D( a8 V; h; u除了command和ccbot,“powershell_command”类还包含以下对象:/ i. M, C S: O6 F
/ H% x/ a' b6 ]& q5 m: u# u
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
& x$ O% h( P& Y5 u) B6 K: n A& G恶意软件随后将执行以下命令:; d: I/ r. o/ X0 g3 e8 \( ^
! q; @8 E& x0 R/ R( _IOCs& S; K- a, {9 n7 k
; r" o3 g/ G' B9 u
 7 P9 C" A/ x4 L
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM / s* h, Z# D4 I/ m" U
. V" }/ t8 K0 s! E4 D* k3 ~精彩推荐& m, M( l0 E* a
5 \( A! h, {3 _' X& [& @6 U
3 K7 y' p& z" U, n
9 V! x) S) x4 O8 M) j ! z$ @' U2 W8 ]& u
  
9 v. M; y9 L9 z/ }+ ~4 }6 k( l% H. F- x" U: W
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1& ]8 R9 b+ S ~/ t
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
