网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。. q( C; y. f. }0 A( B
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
}. r# g! ]# }& j6 B3 W0 X. |" d" ?GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
8 f# y0 U1 M7 K' M% u' g
8 m% L/ t/ W5 K4 ?( L% M8 G2 p0 \- / c9 @0 A4 O4 @2 f" J4 Q7 Q
- 1 l, ?9 I2 r- P! }: u' b0 M
- + u: `0 ~) Q* P0 t
- ( g1 Y! q8 g ], u) f8 J4 y+ P
/ ~# G1 S: R' V+ D. x6 R& G) t
/ U8 w: M/ ^4 E7 G$ d/ ~( `; d
! v# q _! J, p! I7 J& S Q
' m+ z# {& z1 P V4 g+ q
! v0 B$ \0 H; O$ x A0 V- ' K/ ~2 c7 U X# {) ]
$ _; k- J; a+ G0 A
8 k( T. J, h: A
3 Z0 _9 I& d. K# t
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL* e1 Q, k8 \' y6 K- i
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。 k0 Q6 q1 h7 ?/ W+ ~
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
3 [7 L7 M3 h' P, `& l4 O0 A执行命令脚本时,将执行以下操作:
- `6 A! {% h7 e1 R& T6 R0 P # q0 [$ ~( ?" H F1 a
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
1 ^) b8 \; K5 e+ b2 P: `[color=#777575 !important]1.Mykings% e8 X+ P# ]7 W9 x+ E0 H
[color=#777575 !important]2.PowerGhost$ s& ~( B. u, \
[color=#777575 !important]3.PCASTLE. c6 m5 O- r8 i/ z" V1 q7 C
[color=#777575 !important]4.BULEHERO
7 `0 C3 Q9 `$ U; W/ A! p[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid. G! k+ s- d9 e- i; y
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。4 j& ]8 w3 U! m. ? E& g
 ; W7 m$ I9 M8 J
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。& \* ]9 @' o2 ]% G( ~4 p3 ]: l
 9 R6 b$ |) U9 q2 p$ @, f4 @( S
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
6 L3 Q/ P) |6 q, ^) B' A0 I+ ]除了command和ccbot,“powershell_command”类还包含以下对象:# i8 j- l" q8 e8 K4 v4 a
+ m0 F4 X; D0 n" h3 J- c1 Z
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
9 I/ G! m+ X x1 |" g' \' ^恶意软件随后将执行以下命令:$ w7 v! L8 K$ M4 ^
( O6 z d* i% d" V" U. _& \IOCs
5 X; Y: _2 K4 K5 P/ X1 B. M& g2 H, W- s1 W2 F2 F7 U7 f
1 |- k6 N5 r3 a' B3 ?0 A e. |*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM : p6 S" H+ J" U- A
6 K5 n, V% F6 a; Q. b精彩推荐
# |# U8 x* P' i# v + U- p4 ~+ c! B* @0 d0 P" n
9 j+ F% b: C/ Z) j5 B6 Q6 v! U1 R
/ A* S/ A1 o, a
! l! q0 u+ b$ |1 \& s   - A3 K1 ~* ~, ~ D Y. Q
+ I6 `5 f2 q9 B+ k2 K. U- I来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1( J1 P! r+ ]( l3 S- O8 I
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
