网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
- H. |$ T4 w- [ u5 h8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
8 c" E/ ~! @- X9 z: ^1 F r6 pGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。- v) { `( f$ ^
# I! a) X, s' X9 D
D9 |# n! f* v6 e% g' s+ `
/ ^2 t7 |: c% _. S* j8 m- 9 ~; A$ A ~" s& J5 u! L' v( c
- & G9 m9 v* |- n2 `; b
$ w9 F5 s$ d% |9 L- $ O+ s' {9 c; j1 Z' K9 E5 @( s6 Q
! K+ d* x; X! T* F- ! K, N) e" h" {, M7 i I9 q7 y9 M
- ( A: Y o5 v: s- k; C+ G+ I) z3 n
- 4 J; q) @' F* O/ L
1 K2 S( D0 G6 ]" R j' P7 B2 x- 4 [1 F6 z" [9 ?# {# D
- 3 v# r% M2 m/ g0 P; b5 n
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL9 k" b/ y5 d. u8 `0 s5 V
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。" j; x F0 v- g& N' Z
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
1 p n4 o, Z M- k# a4 X7 z9 \执行命令脚本时,将执行以下操作:* V" h! _1 ]6 H. V* A4 Y- m' X: l
8 ]( L( x+ [, a4 J除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
9 g6 b9 A0 N" T4 l% g6 n[color=#777575 !important]1.Mykings, T; l; e9 g0 L. ?4 u0 ], Z
[color=#777575 !important]2.PowerGhost" v/ B- ]! x) P7 B9 b2 H
[color=#777575 !important]3.PCASTLE
- {4 z/ L3 P9 d3 R[color=#777575 !important]4.BULEHERO; x, \2 @ |7 c: K. T* q8 D
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid; J7 L' Y& K+ R3 G. }1 v
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。0 [- n# Q- A7 L: t! N, X& z$ B6 ^
- Q0 ? B3 p. ]; M另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。; n; z9 O6 c9 R" M [8 P2 \1 N
 / V! E* k2 Q5 z7 h5 o# h
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。 b, ?2 l' T+ X. \* m( _; F
除了command和ccbot,“powershell_command”类还包含以下对象:, G! u9 A/ x3 S5 j
( \5 ^$ z! |6 G3 S' A1 T O; P
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。: F+ \$ v& u0 X: N/ B4 f5 F
恶意软件随后将执行以下命令:( f* D8 t) l' P# g
& w/ q$ L5 q! V1 LIOCs8 @9 C% Z \; v) t, ?4 u1 V% W" I
^8 c! f& Y. @0 w6 E1 M$ N
4 @# G* i; f7 ]0 {" q, u0 X/ K*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM . K# ?$ R+ G' z9 A: L( ~
 . m$ W2 y0 z* T/ d
精彩推荐# P* D7 o, D3 b+ O3 v2 T+ z
 ( n7 c2 B ^) m
 $ g' t0 y0 A8 ]# f; u6 p
 ( U* N. B: H T& ~+ F7 \* X
 9 P5 }: u( X& i* P! k% z3 k
  
" r- j. K( i+ I, F/ b/ c3 @
. W2 ~7 H, N, x6 Z) Q. j0 {( V来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
% m! {8 `) u8 @4 g9 H0 I免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
