网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
( I5 d8 t3 ?! s$ E) B6 _2 W! h8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
7 Y1 r+ u0 a$ y7 z( QGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。; ^& f+ Q$ b7 k# M, v2 k
0 `, [8 r3 \' G/ R
5 ]2 k- l* q+ X( x* g' `
5 n% z! i& k5 M6 F b( m6 X- ! x1 p' _: \, {0 H" I! t& v8 y
- " S/ n1 b& ]8 K: V& l
/ M' Q# o8 A6 d9 W' A
. j6 Q; h1 D% k' n0 J- ! y) p$ Z" e7 k1 [% F
- ' }4 `: W% A7 J6 W. d `/ v& Y
0 [# o; U( w+ ]* a% p
' N! s; ^+ |; U- o. b- 3 h1 K L4 a) L# o5 Z2 M
* o; P1 ^* O( S4 D/ o0 C# j3 e- 4 X7 o' e. h! m0 | j
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL P M z6 x. k( m/ N; q
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
; ?! N6 q p; Q3 A; k7 v! [当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。- X, j! {$ ^5 `0 A
执行命令脚本时,将执行以下操作: O7 d. d* C1 q
" u3 c9 U! g: l8 b! [ l- @2 k! h除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
1 m d2 X( B6 ?, M6 D[color=#777575 !important]1.Mykings; y' f6 b. [* U# O, B
[color=#777575 !important]2.PowerGhost
- _1 Y+ c& T; |[color=#777575 !important]3.PCASTLE
( }2 S% M2 ]$ f7 k; \[color=#777575 !important]4.BULEHERO
) h- }1 X1 D0 @5 f6 t[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid& L+ a7 _) E! \
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
+ @( _4 p# i& x- ~ 9 M- w7 J' N; }2 e
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。# g, J" w) B0 y6 e+ g1 `
 , K5 O8 p$ q$ S5 X6 o
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
* E% P- U5 x" Q; j5 E* C& J除了command和ccbot,“powershell_command”类还包含以下对象:
7 ?1 d8 [! }$ `9 f
K1 v; M" |$ G# ]" MMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。- R1 ` Y+ a, G/ k6 A, _
恶意软件随后将执行以下命令:. l" {" x- L5 B0 k
9 U8 o* x2 P' |& @& |IOCs: k: |0 ?6 w9 f1 |* a e+ {) ?8 d: X
, o3 ~. m, M# ~/ j' W* V2 W
s+ q, @" ^+ V$ H*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 5 k6 g9 i3 ?# r1 o, `
# c2 W+ J: z) i$ {精彩推荐8 h4 `; d, c9 z/ ~. Q! H
 3 u* ?- `. \# c/ F( E+ h
 ; T0 \8 h7 v! F& }2 l
 6 v( N1 m; K0 f0 r! k! G2 \
 : t, {; f% z: w: s( N
   ' u2 Q2 |/ @' k" U+ n$ T) G/ q
1 S& I5 x3 D$ Y( e5 k% j5 m
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1 {. E# p5 v" n( G+ w# l0 B3 u* J/ V
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
