京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9349|回复: 0

无文件加密挖矿软件GhostMiner

[复制链接]

23

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-10-4 22:35:29 | 显示全部楼层 |阅读模式 来自 中国
网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。7 S! U7 {" n* k* U" U; a
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
; T! ]. Q( a3 Z( n; gGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。+ U# W4 P1 D/ k. ?" K: W( A

    7 ?# ?9 A- i' E1 \2 f

  • & }1 y8 C7 M$ |+ f' Z

  • 1 y' Y* s) F9 [9 {) H
  • ! Q7 M; _& r# g4 A) q

  • - g' B; @: [9 }9 n2 k
  • ( a+ Z4 v4 ~2 w: P3 {" W
  • 0 b: c" U9 c3 E+ J5 m/ f2 l# {
  • + m0 ?$ S- n4 S* H4 @! B9 Y. I$ `8 t

  • , c) l- E, C% x; \* d! T/ i

  • + z* J$ E1 n% s: v

  • ) E. p. |0 ?  k  m
  • ( d" \+ H+ a/ Q9 x" j2 Z: \: D2 Y

  • 5 A, q) m9 N! g2 [

  • " U# B) U5 c- A, I$ W0 Y
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL8 a2 B  |0 g* Z% T. y
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。/ l# l% O7 B, _. B0 i$ t0 h7 K
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。& ?: ]' O) ?# T+ D% E  ?0 _
执行命令脚本时,将执行以下操作:
, n* W) N5 e7 U5 A9 ~; L# C& k' F* ]4 r% k6 {
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
5 C' P" D2 P" n  a/ }
[color=#777575 !important]1.Mykings" z. a( D( z, I, m5 F% _" I' W
[color=#777575 !important]2.PowerGhost
9 h; O4 d6 c: F( N[color=#777575 !important]3.PCASTLE3 a- J: c8 D: s" e  m) A
[color=#777575 !important]4.BULEHERO
7 a$ [1 x+ k3 p! ~[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid5 B) H; X+ f  C( n* U
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。5 y4 b8 z* d6 \5 H& W% ]
: J% D5 A; _  b% D! H, c" N7 ^
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
1 C; _5 ~' s8 x; I( z7 V
  P! m) Z# N3 {, ?& R  }4 ]同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。' v  z) [* S# q+ n6 n
除了command和ccbot,“powershell_command”类还包含以下对象:, b; u/ L/ G7 f
2 E( a) _- b- f6 }2 t; N# ~
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。8 s' p* V: f/ L0 }$ H2 {2 t
恶意软件随后将执行以下命令:
8 \' ]; K. r( |* a! U" u8 u
7 x  z& u; _# j: o. y" {) eIOCs) ~6 S6 _# g3 _/ L
- [1 l, b. h: u% S9 k

4 s6 r9 z* J) w2 G
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM

0 V- O3 w3 ~# L7 u" a& _) w& e7 ?# H* n$ U1 A4 V) K* ?
精彩推荐
$ B# ~( \6 _. u& m, Z; g
" }3 G, `5 q) z6 e4 B' @5 w& |
: n8 d+ C$ W9 S3 F. |/ T! M" y3 H  w9 _

2 p- A4 `' ?- B3 V9 d9 u1 B, K8 k+ G- E( q1 J. T- F( L# |! B
- }2 {' l* q3 M: ]" F
来源:http://mp.weixin.qq.com/s?src=11&timestamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
" P  m5 p# ~& R2 [/ p4 e2 j免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-15 13:26 , Processed in 0.050231 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表