网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。 N# ]0 C6 W8 X% E5 p# l
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。: }, f* X3 C; p( V
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。: G9 G, x. j+ I+ v4 Z: n; }
9 V& u) G3 c2 f$ I- y2 r' G, `0 K3 ^
- _* M; v* h9 W3 E4 i6 s" b- ; D8 h" _" X g. ], T: p
m; ~$ O- T/ o2 r3 R
% V! Q1 l& Z. X# o0 N o- , [; f: l7 g2 O+ n
- $ s, K/ K: l+ ^: `, q# M5 n. S# Q: D
- " K8 `+ H* K/ [, F' }- C
! J& u4 [% s2 M2 c- 4 _9 w9 H) w. C
- ; F- J& W' t: ]7 Z/ L, [
- 5 ~# E# B8 ^2 K
- ( u+ Z; A- Q+ _/ n4 r
/ V8 {: `- r" Y6 F7 U$ b
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL L) J8 i8 |! o4 Z
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
& C: J7 u9 Z" b当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。3 J0 ^7 l% Q8 ^( [/ K
执行命令脚本时,将执行以下操作:; A5 L9 G& j' c! H$ \
 - ]. l1 W! A* ~- A
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:: ]: b$ `/ l( J# {
[color=#777575 !important]1.Mykings5 M- M- r+ k1 J" t
[color=#777575 !important]2.PowerGhost) b, ^- r6 ?3 ?2 N! S- S' a: T
[color=#777575 !important]3.PCASTLE
/ \3 o0 q- E" E5 g/ ^[color=#777575 !important]4.BULEHERO$ b: K1 M7 Z1 Z( T" }0 ?! M# [" ^' O
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
7 F) N. u4 [. X2 b* s4 v7 w. L wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。! b' H- J& W5 h
3 ^1 n" {( M! I+ _* x; n另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。/ Q; n& F, Y, o2 f
; P( V/ T2 V. [% D, l: ?! N同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。
2 |- c( D- I& k除了command和ccbot,“powershell_command”类还包含以下对象:
: K, X$ e8 }( E$ M3 u
$ ]% q8 Z; k6 l5 DMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。# e# f/ i% w4 M! z+ `! |: ^5 l# h, N& X
恶意软件随后将执行以下命令: \2 s9 Q7 p0 G: g$ t0 R
 + R% ~4 J, c+ k- c9 a3 N) j
IOCs
' m! ?' H% U0 B! n
5 \0 y7 O7 ~9 g9 f; u
, y. _* l6 m, o9 }- o2 C*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM B* y3 Q5 m3 K# E$ F/ U
 8 k7 C$ P) M9 ?; }8 M
精彩推荐
0 ^( M3 t4 v6 U- B + J& K5 M0 L! i0 ~8 ?: l9 T
 6 v- D, U# f1 Y. o9 ?# Y( @0 O
 + m8 Q/ j1 x: J2 @" F8 ?
 4 f4 ?6 S& `( o0 u" G, P) S s
  
I& c. L3 `! ~+ y+ t* h1 j
& j4 Q* |! H# m/ r9 S9 R* b# R来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1/ H9 m7 [5 Q) Z O
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
