京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9352|回复: 0

无文件加密挖矿软件GhostMiner

[复制链接]

23

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-10-4 22:35:29 | 显示全部楼层 |阅读模式 来自 中国
网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。( e( J6 ^5 U* c& X& z" q( W! V( a
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
, n- _, h; @) A" _: I5 UGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
( g7 D* Z% K& \2 M$ l1 y- K' `

    0 y! ?8 I  B: k0 J3 T0 {

  • 1 g  W- h# f1 f4 W6 A. j1 j
  • 7 n# ?& s/ R7 B
  • ) }3 c; E) S3 s; k6 f' Z
  • 1 i- \+ L5 x3 n2 i. U6 @  Z$ f9 y  x

  • 5 _% u. [' }3 H  G

  • 4 T1 k; _4 H+ q) a: r$ M
  • . Y- q; w% x$ L! F$ ^

  • 5 ~$ a: F  z; _4 K
  • 4 s7 B" y( |( n3 @
  • 0 V9 x% h. p- [7 t) E% F( ?; k
  • , W) y) d% x% O- k2 v8 u8 \# n
  • 6 p' o: w, |* t/ g6 K5 P* Y# v: d% W

  • ' s, l/ i0 z6 @" ?' K7 l* p, X
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
. [; Q' V. _' r7 @4 U  Y2 K8 ~FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
4 V% p* Z( ^$ m+ p1 l" w当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
% ~+ o! c4 ]$ I0 o0 ?" X执行命令脚本时,将执行以下操作:# i' \8 [5 y  e+ x! W, l+ L

  e; W% _) G( O# |2 v# f4 c% h( I& w除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
( z) F$ O( [/ G; `/ k+ K9 c/ k
[color=#777575 !important]1.Mykings
& d3 f8 n' x4 A- b/ s[color=#777575 !important]2.PowerGhost
# A6 `2 a! s4 w# t[color=#777575 !important]3.PCASTLE
# Z& F# {8 Q3 w- k9 s. e- s[color=#777575 !important]4.BULEHERO
. W2 J' f1 D4 ]! N[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid8 A/ w- q# k& Z( V4 {. j
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
+ s# Z4 I) w" U9 `8 I  V
  z  D9 C- j$ N+ I1 a另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
. |( M1 A8 ~: S
5 M% n+ F* n; U8 f' ~/ v$ D, L: y同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。; Z: n# g2 p% ^, ]
除了command和ccbot,“powershell_command”类还包含以下对象:
: l% R6 E  {( d

8 u4 \& T$ v! W, h" l2 CMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
1 I  E( I5 O3 a4 Z恶意软件随后将执行以下命令:9 ~6 a* ?" K5 Y* A0 r; g
7 \. a( i8 Z! E; V! l
IOCs! H' U' [8 _# \' p' C9 q- l

4 L% o  M1 [" F- N3 O1 @
9 [" l& i) }, m9 ?
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM

- D' E" |2 b% R$ v" E& X$ W: C
6 i# c% T! @( z! u3 {/ N精彩推荐2 ^+ ^5 P# q- W# q) l, L

# n8 C. E: |1 k; l: U8 I
5 e2 d: @- L2 o
8 c0 W, S7 Z. F0 }1 r# e* K+ ^* i+ a3 ?. o9 i$ J" p: S

4 b8 s0 H- R0 r3 n, }
& T4 E+ U) w+ f5 k( v& n来源:http://mp.weixin.qq.com/s?src=11&timestamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
$ V/ z: [7 \# T' A  Y! x% }2 D0 ^" q免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-16 04:17 , Processed in 0.048999 second(s), 26 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表