网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
5 L/ ~( g& r9 X$ C8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
& W9 ~" p2 U4 C/ _% J; rGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
5 _, h/ ~8 M5 G" B+ d3 Y+ l$ Q* Z- d) {2 i, M
) p' c9 I- l5 B: v2 v, K
/ v" f- d4 J; I. L! t: V0 o s7 t. T
2 K: L& z: \+ C& |" E- 5 e" i& W" ~/ n( ? {
- 1 { ~( T" K+ ~# h$ }7 @" u. Q
. @# u5 w8 g; G* E& d ^- ! _9 m3 G( G% M
! I$ ^5 w- t- c- m0 _: m0 ]2 K
3 d0 Y6 i z. {8 g& g4 g# r, E- * U0 q+ f, y% K0 g% B! N6 z
- . k% e1 G0 _; q4 K. z& C, H5 N
- 9 {; \, K1 k0 a, ?, u" p6 d
- x, F( X% i* e
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL: g2 w- h+ k2 E. b" e* y
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
/ X" f' j9 _4 ^2 g# K' I当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
) e5 h. B1 |" k4 m) w( [5 @0 M: u$ W执行命令脚本时,将执行以下操作:
3 b: w: e% d& q$ D
( W) v4 [5 E1 Z9 `1 ~除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:* U, ? F, U/ ~: Z0 f' S9 p
[color=#777575 !important]1.Mykings
' Y0 E' s+ |; y& x[color=#777575 !important]2.PowerGhost+ B1 f6 ? w- y4 U
[color=#777575 !important]3.PCASTLE0 u& ^9 Z: v# ?1 v
[color=#777575 !important]4.BULEHERO
3 `* _+ X5 ? `[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid. t: k4 w& F/ L' \% W' o& y% @
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。4 d6 i# |7 f7 S9 N7 R
4 b0 ^: d% ], m9 k1 Y
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
: l7 n2 y0 X( \8 [# D) i; g* D6 I
j- L2 o. ^( J( c, }5 z4 S同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。5 y5 g" y, ?8 `8 N
除了command和ccbot,“powershell_command”类还包含以下对象:
7 }! C- T. U/ l w! \: n R' z; g3 J
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。$ w$ n0 [6 O# t' B6 G9 d8 d
恶意软件随后将执行以下命令:
( ?1 r6 i( W6 @" G3 a! V, a
9 d/ H- M3 b, F9 L6 S2 ~' mIOCs- J1 P3 ^7 K$ T8 \6 |
9 ^6 ^& a8 o3 \
5 W& w% Z; |$ X" d5 U1 ~*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 5 Z. T8 L# g' I: z" S: ~. N
, }0 V/ X8 t& o, x) t4 T4 w
精彩推荐0 D* z4 h3 w$ a6 E* G7 p

0 R7 K' m0 U. [) W+ a2 k
9 t5 e( h0 y' h( T1 o
# t5 [6 x% n. r8 h" {, |- e% t
( r6 N: S! Z$ v6 ]) _  n5 T0 f8 E8 r8 Y: J" v' T
( Q. D5 ]* I" b6 z p& `$ j) t( B来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
$ i0 z+ K' G" u1 N. R免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |