网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。& W$ D# O( \. S, M i
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。# N* S6 t1 P N' f I; ^ g1 ]: s' a" X
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。5 C+ W. A: c) m }
1 c( q' [/ f; D+ V( u& c
- 4 e# A& A( f6 k' A* `
- ; N* F$ a0 ~ u! e
1 k/ e6 g. ^2 G6 |9 ^$ G- * B+ \/ J9 e5 x) f" t( x
- * g- t+ ^% G. D U
- : r# z9 ^# _! z" Z. L# ?" y
$ l: S# q& S" ?% p V3 a3 a$ e- - Q, C/ [. a* j4 N$ }
/ J. Q7 \) {+ L" {
) a% \9 e, J2 O: V) v. L- ) G4 |0 B: ]- y& ~/ O0 |
" a6 R; b/ g* F" j
, g- e" |, X$ e) j( V! K Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
% G- l+ N: D! h0 ^% }/ rFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。6 w% \ D- Q- P7 p: x" O& n
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
: L: |& X, D6 a- ~: _执行命令脚本时,将执行以下操作:8 Z+ ?$ Y& F& B! j8 G- O
* E& ]- }% V+ j% s7 b# s2 W+ [除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
; Z4 @5 _, [7 U7 y. s. d[color=#777575 !important]1.Mykings4 n- C4 U2 f% C' w' ~8 G& h
[color=#777575 !important]2.PowerGhost
; C3 O' |( }) J! G# E7 {[color=#777575 !important]3.PCASTLE
% c7 y& r3 d& T7 T1 w1 W[color=#777575 !important]4.BULEHERO
$ |" R3 X& p+ ]/ I4 [' P[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid9 ~5 z. C1 x# m6 `3 I$ u9 ^) R- i; h
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
$ P( C1 a& \; _0 W, v 6 l9 b3 x5 S Z; c8 t5 N
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
. x0 q9 ~9 K7 k7 G$ m+ K 4 {6 N. y4 N% e
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
( X2 V" W9 k" }0 J6 s2 R) y; V5 U' R2 x除了command和ccbot,“powershell_command”类还包含以下对象:, z" U- ]% \9 X' L- F& I- M+ H
6 T) i- n% F; U. z& ]; U
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。6 k/ K& H W; p. r, P! H
恶意软件随后将执行以下命令:( {% o! }/ Y4 O" U8 g
 ; N4 \1 p1 c/ C. W/ s v
IOCs: ]: \" `1 O7 S$ o' i
! t) U5 u( Q! x4 l/ t # n) j: b X3 M; |7 n
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM 1 V( ^; z/ ?% U) q i
 7 N- h; P% W2 S
精彩推荐
( {; M. h5 ?7 S& D @
6 M2 W$ j o3 S2 y+ @ ; k z8 Q4 q/ N- N2 p; P7 }9 t2 ]
5 Z! \; e- R+ O 2 |# r! s7 F k% B1 C! ]. A! x
   Q: N3 L& R5 w1 [! p( M, ]
# Y: }8 _' b( L0 Z( y
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
4 d4 o( p" d7 y/ B& S N免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
