京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9350|回复: 0

无文件加密挖矿软件GhostMiner

[复制链接]

23

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-10-4 22:35:29 | 显示全部楼层 |阅读模式 来自 中国
网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
2 C9 E  n% h* ~3 x4 o5 U0 X8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。$ k2 K# Q4 e! R' _( b' q
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。! R1 S3 Z% r/ o. J1 \  D/ o. p. S
    7 s; K. x; A& B2 ]! w& Z

  • - ?6 y  b: t/ r, N; {
  • 6 s' q, z: a: B0 c$ ?
  • : C8 x% P# s, I1 \4 A- ]3 ~8 Y
  • ) p/ e1 @$ P& c* ?8 {) J

  • 4 _- `' e5 w) G! v
  • & t. T& k1 k% f& _) G/ o. o

  • - N, e' I5 ?1 A- R  w' k

  • : a: Z9 W0 H$ l  k9 V
  • 7 Q5 N8 s6 x3 E( F

  • ' T5 C& [- {4 y* r, I; W! }

  • " a/ I. ]1 e0 Z7 c
  • 7 J. |0 j+ W2 g

  •   E) D6 }, Z4 s
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
9 G+ [  @, r' b7 H/ f8 J4 G( {FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。* N' ?8 m7 s8 b5 [; K+ ~$ |
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
  T" {- v+ U- V; E' s执行命令脚本时,将执行以下操作:! c. V, d  k7 [/ |
- I: N% C* p  s3 d% e1 S/ J
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:) I* P' o) F  z9 y7 @
[color=#777575 !important]1.Mykings
+ B1 C; b. U1 n+ {' U2 a$ m  R* Q7 ^[color=#777575 !important]2.PowerGhost6 V  b& u; S- n9 e. F- W1 D
[color=#777575 !important]3.PCASTLE
7 ?5 `& x, `" M, _; m  m: \6 Z# v[color=#777575 !important]4.BULEHERO: t6 g7 r6 R# }
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
/ v, P/ A) }5 K  s0 o+ o6 {
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
* D* y/ H6 _. \! W, ]5 ~8 A. P& p. k( q1 X- [
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
1 t8 d% \- _! k( H: \) C
  ^9 U! I* v2 @) w; s, m同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
, t  `! I" p) D除了command和ccbot,“powershell_command”类还包含以下对象:
( T6 P. W  I; H" u  d3 a
1 o$ g0 ~- }% d4 ~; e8 M
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。; p4 B  }$ F! O9 R$ J% e
恶意软件随后将执行以下命令:' `: _, }# k7 _5 I
  g+ f9 `! D& m% _% n% R* Z
IOCs' L2 F6 c: l; E
( ]6 P3 {; ]) _9 C5 R

" [! r1 q& z( h' E' H1 V0 f
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
( s4 H) E( z$ w& s1 y! x8 k% C
! T& d4 b( H  K" j+ B( U
精彩推荐
" }/ n& Q" ~2 R! p$ C. c; ]& b. @& A$ Q6 v8 |/ F2 R
7 v& r0 V" e! V- i, `4 |" \

4 |% [: |% k( j; X7 W3 _# {3 n
) }* ~, @# s+ ]9 ^6 t- A1 L6 z% o- z4 @8 t0 }" R  w

# ]" r- @1 o: \来源:http://mp.weixin.qq.com/s?src=11&timestamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=12 w9 q9 C# d* e! N
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-15 14:33 , Processed in 0.061033 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表