网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
$ @. K4 P' c2 f1 G2 P8 a8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
; E8 a3 w& _6 k' k) U1 _5 mGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。8 n% P/ w& e5 R0 z, N! _! Z9 S
3 D' z8 P) D9 i% [" V, D- ( h8 B0 }5 [) R7 `9 s+ C
- . c) r1 {/ T b& j
- / t7 g0 ?- R6 l$ ^0 V
- % n% }) u5 y# H! a: ~! e
- 6 o: l3 d# M( t4 m% `9 B: v; i
8 U0 I1 a# b+ Q4 X; p* l9 g- ' [ Q# |8 G& m& v
+ N$ P4 X# B$ C% Z- ! t3 F. M. {7 j- F
- 8 c- V( t" y4 I: o( U0 {
2 S5 i# _8 P) U9 \
1 j' g4 \. T* @' W$ h' P- S( p5 }
# c C8 O% m! t6 t6 P( S. `$ N% `
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL2 [! `3 p1 Q1 i0 a+ @( a3 y/ j9 x
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。1 o+ e: y1 w K% S) t. K2 N
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
" w3 p$ U: ]2 t" [执行命令脚本时,将执行以下操作:
& k: a; d7 |" L $ b" c5 k5 k# P+ L# }
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
( q8 R; t o0 U) |/ _$ a% U/ ?& t[color=#777575 !important]1.Mykings
" D. p h% [; G$ e% E[color=#777575 !important]2.PowerGhost
& C* k, G9 `" ~- Q) |4 y[color=#777575 !important]3.PCASTLE
5 o3 `9 s$ ~; e8 X, `0 V4 Y9 x6 Q[color=#777575 !important]4.BULEHERO
+ v0 _8 V0 ]6 A: s8 d, B9 a: |[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid/ A* T7 E. a) E. O9 f/ G
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。7 V n* [* O) M$ n9 ?' c
! G0 n# X9 c& V- T' s. L( b0 m另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
* o/ }* |: j! Q* L
# @/ {% ^0 o( |' i( |同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。0 i( o6 S. t; Q/ |& v
除了command和ccbot,“powershell_command”类还包含以下对象:
4 I9 e2 n: M; D2 t E6 f! U* [7 e y
! E7 f* T) T3 z ^Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
; T+ R$ I1 L9 l恶意软件随后将执行以下命令:6 Z4 R. ]9 L9 A
, g ]& ~" W( |: ]0 E! c" e1 QIOCs% D! V4 t5 A9 r. `5 U6 V7 s1 g
2 S# N, S3 f4 X3 I
: S# u" _" p V1 _*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM # s- T: g5 v" [* X
 + a/ y, F; A, k' z
精彩推荐
! |$ h* D* `1 [7 O 6 z" ?" _6 e# V+ F Q
+ w7 B* H: X+ y1 t D1 v - C' |% \3 n8 J. j" @
 2 ^( N7 F' [& U$ @- h/ k
  
/ G1 Y( r1 S& W' c. n0 ] w+ O6 x+ E. j, ^1 D
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
. Y. w! t% L# N0 [5 t免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
