网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。# d1 a8 j1 d2 w0 H" Z* @ R6 T
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。2 Q! v$ m2 d$ F+ N
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
0 } i+ G; s# t$ l% r
* o' f% l0 q7 @8 e5 P( u- 0 G; h/ g$ w% ]5 u0 o1 {
3 N j4 h6 x, E4 Z8 k( T! b) o
/ S- [( o, |5 Y8 K9 a0 r- 8 ^3 Y; E: E) v. f8 L
/ W% O5 n+ d: C" B% C- ) E; L& b$ Q8 v* T3 c/ k' c
6 L9 _0 q0 X8 C5 w3 Y* I% C
3 S+ L: l e0 z# a8 c
# o+ | T" `! k# Q: {- # N7 f& B4 ?* f, ?* g$ O8 E) R2 k
3 A4 k3 h; s5 b
1 O& S& X# O0 m( r6 m/ h+ t
% A( B O4 |* A$ L+ v7 A& x6 W
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
/ }+ v( o4 S# Z/ \7 A4 s. H' R4 B. e( xFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。# F Q' ~ ?" \& U: ~0 y- m
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。+ T) J7 M2 y' R
执行命令脚本时,将执行以下操作:7 ~9 [, V" ?* G; [; W' a$ g
8 u! A3 H9 ]0 O2 ~) ~$ G- f1 T) u除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
1 J$ f/ T- e/ H% K8 I[color=#777575 !important]1.Mykings
& \1 b5 R9 t% S9 u[color=#777575 !important]2.PowerGhost
" ]4 h, o1 f4 y5 s# ?[color=#777575 !important]3.PCASTLE
4 x8 T- @" v9 Q2 {* x- x[color=#777575 !important]4.BULEHERO" j7 V- n6 l' T
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid- C9 e0 B) q* O1 D3 h1 @- E% d- n; I
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
; | M8 Y) f1 j + I% m. U5 Z: J, z$ J1 _: I
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
+ ~0 K: ~7 ~! ~6 e8 D! W$ g4 c* u 9 Q, ~/ Q& ~; h2 A
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。8 V0 w3 X& O% H, r( y8 \% Z
除了command和ccbot,“powershell_command”类还包含以下对象:$ V4 l& f& N2 F& l I; g
" m2 F- A9 A: e# b. [
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
6 S7 ?+ d" G/ T9 r* K0 W' V恶意软件随后将执行以下命令:
2 Q6 s" V2 E: H; ~
5 u# z9 u3 F/ k; cIOCs1 H& E6 M) ?8 r' M/ b4 s4 y& ~. d+ B
$ h! G6 P; f3 N# u" @
: t: L- ?5 g. m3 K$ d( z. ^, `- }" c5 h*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
0 E/ d0 _* ^) m# I- F+ c3 v 2 E A# L& w( X: F7 g* M! U+ j
精彩推荐
5 B. t8 u: v- T
: O( g2 Y. Q# Z7 l6 O% M! c 1 L% O/ V9 c' X9 l0 X4 b
# H" j# F8 I3 s* O/ [, Q# Q5 V z 7 y. C% S' {; m+ y, r$ u I
  
5 e4 B6 a$ F0 q9 x% N
( ^/ A1 t+ ~3 \8 G) P( H- `来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=14 C3 C; M' t! c% u) d" O/ `
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
