网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
B2 }' V- E/ _6 A" e8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
9 z B) d, r, P0 [" mGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
5 B+ x T ?4 I. e0 h6 i$ R# o1 n
" O" ~/ j/ ^, L# B7 t, q* u- 1 l1 m" M0 o8 h
$ S! f+ A" }; [5 P, D
3 h) x6 p7 [% x
" I( A5 Q) V- d7 a4 j
: t! Q1 x; j, b" u
) I$ U0 Y2 b6 O- - F3 p! Q9 u8 Y
- , t) _6 B9 C6 r9 p+ P4 @
0 A- {2 x% t5 S( l9 r# G* |' `1 m
* i* @' ]! {8 ^1 c1 c
1 m. ]+ L$ ~, y$ N- . N& K: {% ^3 k5 f
- * ]* B4 ?' ]0 j, a; k, X
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
: L( y4 h: E- D) }FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。4 `1 b: C! ~8 [) g+ L' e
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。" ?; X, T" F5 ~+ N0 \, u
执行命令脚本时,将执行以下操作:1 ]$ N1 i9 O% T8 B
5 s/ h$ n9 ?, |2 O除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
5 q5 b; O" m& r) y% ]& z[color=#777575 !important]1.Mykings5 A5 u. l+ L/ }8 R
[color=#777575 !important]2.PowerGhost
2 u9 m" F' S! M0 y[color=#777575 !important]3.PCASTLE& J$ m3 q8 ]: W, N. P4 {6 M) ^; j
[color=#777575 !important]4.BULEHERO/ r7 N0 |5 [& F' F% p6 v
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
8 R! p) k0 z, { wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。) H3 Y$ k" h" v9 F1 k$ o
 - {) `5 u- b5 ^$ F3 N
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。, ^" i/ M' D' F' _0 ` ^) W
7 {0 d# s; {: a同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
' j& D1 | X9 u2 p除了command和ccbot,“powershell_command”类还包含以下对象:9 \9 |, P, t* \: f8 C3 r1 p) b" x
& G5 S- N! K' {$ fMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。- e( {! D+ K3 E$ ?$ n) O! y
恶意软件随后将执行以下命令:3 _9 V( i8 ^: a3 ]/ N
6 z* |5 l) m; UIOCs4 i( A7 Q: ?9 C3 i4 U
3 p; E3 }- X: T$ G
 - N1 n1 V8 z7 ?2 r" L2 L
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
/ L3 }" p9 n- I* ?- U& W
7 `8 X/ w- ?+ U精彩推荐- U/ r2 E# z! l: Z$ [. r% A0 C
 , V& ^% A3 w4 y0 U0 P0 L/ Q
& d9 E; o- M7 B+ s . [& |6 Z/ f8 s; H+ D
6 ^; A8 t6 J9 Q m  
& i" a& i) M) A7 R8 b# ~" K0 o& h% l4 D: N7 S: y: ]" L
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
' `1 g, j: I! Z( P. q a免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
