网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
' [( N6 M& P+ ^6 a8 u8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。1 f1 O5 y$ O3 d
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
?0 [ l. h) N L& m- C
4 M) a: n3 |, ?; K% D, {* X; z- ' a- E% |2 ^3 i0 v3 D% x# c4 X* {
. d: r x& u n( `' y& r- a" o& J- - [% C6 Q3 ?. o3 E n
4 s! y- k- y: M/ Q- 1 Z; x. [5 y( ?; B! b! u/ B
7 _" ^# Y1 D, f0 A- ) E* F; V: z& h- D( e2 K
7 U! _% Y/ I+ R1 c& H4 D- 1 e. k; Q3 ]! l. u9 I: r
0 v2 k, I2 _7 U6 w( q- - m9 [/ @0 w+ F* L& A7 r" o/ k# ~$ e/ @
) q x+ A) D2 i( G! ]! p% W% n1 J- ! x( A9 A% }4 f' A: ^
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
7 |3 g. Z0 ^% L' L, uFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。' g% P, Q3 b, [, [5 j2 Z3 M
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。0 c' d1 F; Z# S7 V
执行命令脚本时,将执行以下操作:
* R4 ]% K1 X1 f" n : c* W9 g( z& N! t" R
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
1 w5 k/ E; k3 R# ?& w[color=#777575 !important]1.Mykings& r+ P! P$ `# I7 V' ~' [ @
[color=#777575 !important]2.PowerGhost, k& u5 @& Q9 }8 D* H _% @* p
[color=#777575 !important]3.PCASTLE
- V# ~4 }( O5 R% p" N[color=#777575 !important]4.BULEHERO8 q! ]8 [$ k4 G) @, r+ \$ t. @
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
1 E4 s' w* K* K9 ~ `! N* |& X wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。; t+ x$ b z$ A& H8 T7 o
+ }9 Y) ?0 m. _3 ~另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。% i) [$ z! L3 R' X( p) ?/ H3 \
/ M D- E) f3 i4 H) E同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
9 g) Q) c0 b/ p$ [9 Y除了command和ccbot,“powershell_command”类还包含以下对象:. d8 I) Q5 N9 J+ u. f
5 I$ O/ o5 s# H% m/ L& v ~1 b8 KMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。5 q% i% j3 v0 U; z' b. l+ \
恶意软件随后将执行以下命令:
- c) I+ D( d7 c2 i! q- B7 R ; ?6 ~ A/ T/ O, f6 _+ u
IOCs2 p( k4 C- L! q/ u% ?
; j6 l+ x% `( i k. D/ d0 \- C7 c 5 n' Z0 M! Z1 {7 a) R8 F* Z
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
( |6 U( k4 v. Z 0 `5 ~/ G$ Y* q! x9 p
精彩推荐
9 P* ^4 S* a$ N% P4 M
$ \/ z% a* Y' B1 J/ G" V; V , \* z. {$ y% U# K4 s
 " i1 J) h) k* v$ A5 Z; {2 T, ]
7 P& Z/ n! S& i   3 S3 a: M7 k$ w t& I/ i
/ X# a( U4 g& v4 c# m# G' j) [
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
, }3 C1 |* L! T7 T3 \9 d& A免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
