网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
8 Q P! g2 D7 V2 ^) w8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。5 g, N$ O+ D3 q; L$ P) V. c
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。7 h) p! N- b( F! j, s7 [' P: F
( o8 v6 c, l& C1 y, B. c9 h
- / E7 |7 R3 g9 M3 O& Z* y; B
5 j8 j, ~! [- [5 w
5 ^+ u+ @7 u* F l8 K/ ^
/ a, o9 H# c- T$ T( A3 `4 h! j- ) z6 H& J6 `6 A! o8 T# ~! x
2 @% o; Q M- p1 K2 ]4 B9 v9 ?
* G Z$ ^5 E0 B. I0 O6 `( V2 S) p0 K, C
: R2 T2 G0 D. w% g b% i
. Q3 ?( |0 I! f! C
; [" @8 S, @! t- - p: y% |: c' w) z6 w
9 t; T1 w% V- \, |( M
0 @7 U3 T2 x6 C. H; { Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
% I, _3 j) e7 J+ {" M4 g* LFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。. q1 W; g/ ?4 f5 N8 z# i
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。' i; H+ {5 X! ^+ V" k! j
执行命令脚本时,将执行以下操作:5 Z) ~) [# r$ c9 [
 # j- J# b% n( I5 c5 G
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
' N" T6 b( N( M" w0 q[color=#777575 !important]1.Mykings
p. _$ K* S- H) A. q% M* j5 Z9 E[color=#777575 !important]2.PowerGhost) Z* V+ Y( j. s# r0 V0 L P
[color=#777575 !important]3.PCASTLE
7 x+ o/ p7 Y; C* K[color=#777575 !important]4.BULEHERO
% M: O3 p# R5 F3 P1 m+ v[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
9 A3 z% A! ^. [ q7 D* D6 y wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。* G4 z; h& C( }5 d; [
3 l0 o' s7 V# V1 E5 r另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
3 ?2 E3 ?# @* N2 w
Z2 c, n" A! S* U同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。: l# R8 z7 h9 W$ v2 j+ ?- o1 t+ K
除了command和ccbot,“powershell_command”类还包含以下对象:
4 R& Y6 x! g6 i6 p s6 \& O
J; w- j: e7 y, @. ~1 A# z* MMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
1 ~* v5 Q$ n1 B" u5 v' t恶意软件随后将执行以下命令:
) t. o. S; u* e/ | $ J; z8 |( _3 _ S2 M# H
IOCs2 f$ Z6 d6 f4 ]% l$ v. F
# ]5 n7 h1 B: d" C, | S
' f2 c4 U; P# h" v! i+ \% I8 S, i*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM ; A( w9 E' h; \6 w4 S# e8 t
 ! P. G6 O7 T, i% o0 f; P# ?7 j
精彩推荐
* g/ a" |" Z4 m 2 P7 ^* m/ ?2 d! J. z
 % Q2 P+ d K0 I6 Z
 / P- P4 X2 Z% s9 z( m
 0 X' X" ~5 n! u3 W
   $ t, y( {8 \, U: Q2 S: p4 k
* Z7 }0 Y5 r# t. I+ ^4 C
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
$ T6 S0 V4 n! s5 y免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
