网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
( p; L' u9 S" X+ @( w8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。+ e7 W- y1 }& e3 \8 f9 @3 Y
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。! F( n4 ?7 ?' g$ r4 U9 `. Z" @
! S4 ~; O' N7 t- ; \9 {1 \; r! Z# r( Y6 r2 ^" L
- 2 S8 g. z& @% ^. G
. D5 R" A9 i' x! y" B! i
/ v, i& ^# ~' W6 R* }# o, A4 V- 3 Z7 r6 T- D! N
- * d1 O+ m/ Q2 h4 D% D i' q
- c9 o8 e4 F( I1 A
; n n7 ~& I( D
# S) j9 R. |; R% c' Q! i* V1 {8 ^3 Z
( |) Q1 e2 o n5 ~- * S9 l% ?6 E3 G" u9 u: Q, Y
, i, C5 t0 W6 x$ m& A: D9 C4 U/ I- 9 U$ Y* ^8 L R6 p5 B m
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
' p+ m3 B3 O' O) Z" dFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。4 ^1 Z0 `1 n; Q7 k( b
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
+ {! N7 P* A0 I: e+ }! \1 P8 P执行命令脚本时,将执行以下操作:
' G" }& F# ]( I2 x! G; z$ w, ]
3 H4 `7 |$ q4 T/ v# ?除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:+ _. T6 C/ H4 g' S
[color=#777575 !important]1.Mykings1 q q" Z/ N( {$ I
[color=#777575 !important]2.PowerGhost
: j, R# X) g. q/ G4 u[color=#777575 !important]3.PCASTLE# O& L$ w+ d" M# \6 _5 W% y' W
[color=#777575 !important]4.BULEHERO
5 H1 f1 V0 H* s+ X8 _[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
, N& b" [2 k1 R) X1 B! I wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
5 Z# a3 Y1 h/ [' j! |, r
! T: ^+ }$ U& ^ ~) g7 ^9 ?另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
& L/ A( P. j2 J: N2 C7 N5 J) Y / e% v. G& l* n/ @0 O1 Z
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
C8 m7 m @- T+ e除了command和ccbot,“powershell_command”类还包含以下对象:! G8 u$ Q% u+ p! u
% {9 V, ?& t8 t w4 o
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。" K, j8 i7 G& g1 `6 z
恶意软件随后将执行以下命令:
* |0 w. k1 I7 h+ j$ r9 f: n
4 v# o, U- N, {3 n1 D; v7 ^9 Z$ GIOCs
" h$ E0 p4 X |1 u j* t. N* m0 x2 |0 v2 ^
3 I6 a# T# X# ~* o; ?' M, b*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
/ a5 `7 M+ J8 V0 `
- Q2 V; u ~# n( r2 C精彩推荐
% D; e, q8 }2 H; F/ a: H4 E
2 g6 O$ ~* ? u & T5 u8 f7 _" c _; }
 $ N$ c' u8 m9 R/ ?$ ]
 * x. e7 m; [4 R) B3 j; J2 g. D
   9 I9 [+ B: l$ m8 L
: k3 t) y. V6 @8 Q来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
) C3 p4 u& X; p( a免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
