网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。. b% {$ ~# \2 Z! f1 ]$ [
8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。
# U& _- T0 y3 iGhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
# @# P5 j$ n) v' a4 O# U) a @8 z) N$ b4 y& ~
2 m! q1 b& F) k6 X( x" R2 {) D
# }% O! G* ^. w- y* T
_" [, s/ l: b; [# l; T- d0 ?! S5 q) ?& Z
- 9 z& w/ y _- m. U
% c7 [6 M D e' x* t: [
4 k: B$ h7 _ e2 T K
( {, n J0 i& h9 p7 S
. ?: Z/ r7 x5 d* B) ?& d; ^. a- 4 l% @, O! k$ Z- p, M4 O3 ]5 b7 N; x
! Y9 X( z% [' C. p3 ^- , ~+ B! K8 c. f& P, E8 B% s
) ?: W5 |- W" o Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
+ w" g5 r" ~. f! J' L0 G) F9 uFilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。8 E/ d: n2 K: T
当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。
4 h1 p8 ~. O. K/ p$ z执行命令脚本时,将执行以下操作:5 ], \; n& P, J h( k: p
5 U2 a/ l" Z5 n6 V除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:
5 |6 s+ z, U# [1 q( @[color=#777575 !important]1.Mykings
/ M- }% R; {0 c[color=#777575 !important]2.PowerGhost
3 Z1 t8 L0 e8 v/ e2 e[color=#777575 !important]3.PCASTLE
6 y& V5 s# D \- c9 o' X K) B% z( M[color=#777575 !important]4.BULEHERO3 X' H! o# t$ S2 ~
[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid2 w8 A3 {8 O; k
wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。, r0 ^, q' I: s% Y; l5 u6 c
 0 h4 O c9 P, ?. F
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
8 n$ k# `, J: x9 g/ J & Q! d) _$ F C7 L6 B8 Y+ c1 ]
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。6 K) b: T$ H+ G* y+ W( o
除了command和ccbot,“powershell_command”类还包含以下对象:) c, L" }. g2 Q! r/ R4 o7 F
3 @0 W1 P* p' ?
Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
3 N$ S5 }& N1 t: i4 c \3 }恶意软件随后将执行以下命令:6 a! w) p: H* e) s5 e
, a6 h7 W: M- l h/ J! o% lIOCs+ N Q- F9 d9 ^! [# f7 P
. j4 e0 e U' P8 @3 N1 ^. i+ T# B
8 H8 ]( }1 `0 m: I0 C1 P*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM ; j. j ]* X; g! Y* Q& ]+ n7 G
 6 ]- M* D$ X& S4 E# K
精彩推荐 s; d3 G) u: S9 |. y2 H" |7 k
 4 l! G3 `3 y. ]
 3 s& o' p6 U; H1 j6 r' t( U
3 S8 ~, E6 Q' i/ _
D' N' _, z. @   ! z! o/ q4 W% h- ^ }
. P( d' p7 j! }) c9 a# F% F: Q* `
来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1
1 d" V9 x* @( U8 x; @! K$ P免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
