网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。; D- X8 ?6 A: c$ v7 z
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
1 a9 Z }% F& M0 lGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。7 \& H0 F" @7 x. [: G* n& N$ i
5 G3 Q$ h# Z) G/ l
- " Q! u. ]" V: \7 f R# U
0 p& L4 q0 j9 P1 y2 @8 o9 W
& I" G! e% k( `# P
* [. v8 X6 [7 u, C1 M
1 M1 C* J. \4 B+ m z
W: E% W9 ]' F! H# ]0 x) I* m. R
; u k8 k5 A0 H; T0 _& Y- % i( u8 E9 Y( F5 \+ S' c
- 1 D% k" y. F2 `4 [3 [/ m
- , P+ \! F$ f; O8 K
9 n! w! F* s- b/ U3 u9 J
* {0 V0 p5 c* ^% \& N5 l- , S8 M+ E( h9 S# C2 W: N
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL; m5 Z* Q, @! O( c) M2 H
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
^0 h: e% q/ |7 n. P1 |- E. t! Q当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。* L; P3 f* V3 B' j' |1 L" Z8 p
执行命令脚本时,将执行以下操作:
/ U( y: J0 i) B' R 3 ?; R4 w5 r( F
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:7 J& k6 {9 @# Z- ^% a8 A
[color=#777575 !important]1.Mykings
% g. I7 s+ m, P8 |% m' P( y[color=#777575 !important]2.PowerGhost5 X. @5 ^. E9 G' {& v9 [+ B+ o
[color=#777575 !important]3.PCASTLE
O& J0 V5 Y- M+ z[color=#777575 !important]4.BULEHERO
7 x2 a6 ?5 u; h0 r: B5 d$ B4 m[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
7 v' y% H; t' k7 U- Z2 b wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
# l7 r/ n7 z& F g, r" H& t* s$ n$ X2 v
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
. g6 W. J6 X* S; D- C0 s/ r8 i1 E 0 z- ?% f) }' H& B
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
% l" N$ p" x; F" `: R6 H4 f. K除了command和ccbot,“powershell_command”类还包含以下对象:
( P1 t# W" d- w5 i! W- |4 z/ e2 ~' G8 S. u; p
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
: Z, h4 X/ L$ o1 h: f: o" f恶意软件随后将执行以下命令:, j) m+ T- p, F
7 P$ \; _& R7 O& W1 s" cIOCs
' N0 u# d, ]5 r( W' s4 `# Y; h6 A" R0 m" Q( i/ r
* \9 ~5 }) O D*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
: ~1 Y7 i, Z5 o! B1 h- Z/ v; R) z
" v8 e! F! k0 [8 X" h精彩推荐
2 A! c. ?' w+ |3 Y9 B 8 s0 q1 [/ l, N1 D: p+ h
( B2 F: R1 A5 F6 u+ l# r4 Y+ [
' n: x! w+ X1 a9 Q
* u; S5 B: Y6 d3 ~* |  
) n/ k8 @" S0 O# N/ H/ s8 w1 l, e- `6 I9 J
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1, B |3 ]9 {4 ^0 T5 _( j
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
