网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。7 S! U7 {" n* k* U" U; a
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
; T! ]. Q( a3 Z( n; gGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。+ U# W4 P1 D/ k. ?" K: W( A
7 ?# ?9 A- i' E1 \2 f
& }1 y8 C7 M$ |+ f' Z
1 y' Y* s) F9 [9 {) H- ! Q7 M; _& r# g4 A) q
- g' B; @: [9 }9 n2 k- ( a+ Z4 v4 ~2 w: P3 {" W
- 0 b: c" U9 c3 E+ J5 m/ f2 l# {
- + m0 ?$ S- n4 S* H4 @! B9 Y. I$ `8 t
, c) l- E, C% x; \* d! T/ i
+ z* J$ E1 n% s: v
) E. p. |0 ? k m- ( d" \+ H+ a/ Q9 x" j2 Z: \: D2 Y
5 A, q) m9 N! g2 [
" U# B) U5 c- A, I$ W0 Y Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL8 a2 B |0 g* Z% T. y
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。/ l# l% O7 B, _. B0 i$ t0 h7 K
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。& ?: ]' O) ?# T+ D% E ?0 _
执行命令脚本时,将执行以下操作:
, n* W) N5 e7 U5 A9 ~; L # C& k' F* ]4 r% k6 {
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
5 C' P" D2 P" n a/ }[color=#777575 !important]1.Mykings" z. a( D( z, I, m5 F% _" I' W
[color=#777575 !important]2.PowerGhost
9 h; O4 d6 c: F( N[color=#777575 !important]3.PCASTLE3 a- J: c8 D: s" e m) A
[color=#777575 !important]4.BULEHERO
7 a$ [1 x+ k3 p! ~[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid5 B) H; X+ f C( n* U
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。5 y4 b8 z* d6 \5 H& W% ]
: J% D5 A; _ b% D! H, c" N7 ^
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
1 C; _5 ~' s8 x; I( z7 V
P! m) Z# N3 {, ?& R }4 ]同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。' v z) [* S# q+ n6 n
除了command和ccbot,“powershell_command”类还包含以下对象:, b; u/ L/ G7 f
2 E( a) _- b- f6 }2 t; N# ~
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。8 s' p* V: f/ L0 }$ H2 {2 t
恶意软件随后将执行以下命令:
8 \' ]; K. r( |* a! U" u8 u
7 x z& u; _# j: o. y" {) eIOCs) ~6 S6 _# g3 _/ L
- [1 l, b. h: u% S9 k

4 s6 r9 z* J) w2 G*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
0 V- O3 w3 ~# L7 u" a & _) w& e7 ?# H* n$ U1 A4 V) K* ?
精彩推荐
$ B# ~( \6 _. u& m, Z; g
" }3 G, `5 q) z6 e4 B' @5 w& |
: n8 d+ C$ W9 S 3 F. |/ T! M" y3 H w9 _

2 p- A4 `' ?- B3 V9 d9 u1 B, K8 k  + G- E( q1 J. T- F( L# |! B
- }2 {' l* q3 M: ]" F
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
" P m5 p# ~& R2 [/ p4 e2 j免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |