网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。$ V! q g/ N( Q9 Y" I+ ^7 L' B: u
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
- ?7 C8 I. {3 S& F- ~GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
; b! n4 P. _. P2 F
7 K2 S! a% F; e. B* h5 j- g1 U- . Q# [5 l& j% \, v
- ( {9 } X) ^8 A- y3 N
2 g/ g$ ]5 ^( L: r' P
. `. F7 ]: \1 ?* Y- 1 L0 J5 v& _2 M
0 j- S) {7 v9 Y3 Y' w
4 l% a9 y& @0 |9 X( `- R
4 V2 `0 T4 h0 }8 j0 u" _ j
& M2 d- a" g$ m7 T: f& _- F
+ [, X; q% K4 @* ~) L7 @ k9 \
2 m: o4 y4 h3 o8 v5 a8 E- 7 a8 w n. F2 o1 b/ S6 v9 P' H1 Z4 j
- $ W0 y" z7 t# W1 f% ~# u) H% d7 Q7 M
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
5 N( x, N* @: U$ R6 `" {/ I& Y: ^2 b) BFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。7 a: A8 w& v/ B
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。- P# G* c. y* Z/ t. b, P2 `
执行命令脚本时,将执行以下操作:" w0 o6 p. V3 s6 b* z; m- d, g
 o1 K. W: b8 ~2 F+ u: Y1 u# ?
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:& E4 b. g9 E" U2 G
[color=#777575 !important]1.Mykings1 A3 c2 V8 L% k3 ~7 z
[color=#777575 !important]2.PowerGhost
4 S) C* X9 j* m- Y$ o% m[color=#777575 !important]3.PCASTLE
6 {& [# n; Y& d0 @1 h[color=#777575 !important]4.BULEHERO5 {: m- o- @/ S5 H1 R
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid( b$ C1 W9 t2 ?6 ?) g3 e! }
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。+ f2 {! U+ D" {+ N
, }! \! K0 Q* n- Z另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。, B; f2 D7 i" X1 O( w( S( r* I
 2 S$ l* p7 q. m! m
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
- D0 |2 Q6 t3 h6 [除了command和ccbot,“powershell_command”类还包含以下对象:+ V+ P* |, W# X9 I! V- d/ a
- n+ r! O5 ]+ {, Y; Q e$ IMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
) Y$ h9 x! N% s! }9 R7 ]( h恶意软件随后将执行以下命令:
$ {+ n8 [) K! |! u- a/ @6 [; }
( B' P8 y, {3 A J) G& T4 mIOCs
3 W" f, y% B2 G( }$ n" e9 f: o( M. }: t/ G9 l! J1 e; V9 K9 r
& T( X% r3 w0 A. W*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM - T' R" M5 c( ~6 j! N4 ~ ^9 c
* @# ?8 |) W# h精彩推荐
/ [& f/ I6 W: `# w% ]1 D* X
2 B0 ]; n) E1 U* ~) g4 C/ z* t % B2 y; V. m: _' H8 i
. }8 C3 c( {# u# k * [9 w5 {9 X2 d% q" s0 M
   & R: a: C9 p9 h6 m
5 u- K' s \% A' o9 v
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=10 C" G. ]; X! N, V
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
