网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
c/ u/ L6 ^2 m2 `8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。8 E+ a. ^ d6 |) l
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。. J& K5 X! F% J/ Z+ a! G2 X
l% A! f" D4 R% J1 ^9 j: P
6 `. ?: Q5 `5 J: _1 G* e- 5 V8 r: H- G8 _) h. ?
; U7 V) M+ R7 p9 Z5 A- . ]2 @2 q0 }2 D/ \" t
- O3 q+ C+ n- t+ p9 ?% ]8 J) s- ' E( P" k' I8 A
8 y# Y# x( G' \# a6 c. l: {: n% `
! V# V5 |. I3 V6 ]) _
: [! c' t2 r! z, J+ \- o1 E- S, W+ A0 v9 Q6 R
* j6 X. L3 q: q$ d2 V6 D
8 g' |% R+ z6 D
6 J+ E3 }& |! t" a! p* Z- U
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL5 u+ w3 P. K$ r" X5 }
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
( {6 M* K' {5 Z# d2 k0 D9 W" ?当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
* G/ y) n7 T% b" q7 c执行命令脚本时,将执行以下操作:4 B5 m7 L6 _4 r. C9 k r
5 p. r$ G$ y# M8 H. Y3 ~# `& V4 H除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:! t/ ` o2 [6 i+ U, W
[color=#777575 !important]1.Mykings
' E$ N' s$ ]0 c) K& [" O[color=#777575 !important]2.PowerGhost/ R7 `7 R( F4 X8 ?
[color=#777575 !important]3.PCASTLE, q6 r2 E( g5 u8 ~( j/ t
[color=#777575 !important]4.BULEHERO* E$ ^- k' B9 k! G9 n: L' p
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
( W; f/ k3 l# ^! O3 ?8 A( _( ] wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
4 n# f% ^$ p9 k5 ~$ h% R' ]) o3 H 4 }/ H: w( z4 h. y8 Q. C. N1 k
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
3 x4 T t7 F% x" W
% G% \" c Q. u# w/ |' ]2 h. A同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。: [, S- c/ j! G
除了command和ccbot,“powershell_command”类还包含以下对象:: B' w {. J/ Q8 b& O
, `- D# h! l9 F8 U- P& |& XMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
- ~$ c% N5 B5 b0 ]' }恶意软件随后将执行以下命令:
3 s8 u. n$ b! n9 v' _" i! Z
- t- A7 l# u4 i* P# E7 g% l NIOCs, z3 a& x6 i/ u/ h0 t6 X' m ]
7 c& D# l6 c1 Y1 Q* W6 M
! |" P. t, s) z' j" x! E1 j*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
5 B3 B2 B6 D& z* I8 X0 C, D b$ W) n1 L9 [" S; M0 x n! d
精彩推荐
. J5 K; b' |0 e( y: {0 u, ^' |
5 n8 u- \: d( O& g' r' K 1 Q& x% O9 h9 S" l
" O8 q& d- _' z* w3 v- b" K 8 f# |- W1 P# D
  
, K% K: X5 }! i7 N4 E: x4 `: [6 ~. P% \: D/ ?
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
! p' g7 l/ V b- l: _ L# A免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
