|
|
网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
9 n6 N' ~- a5 F" w- f! G5 C8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。" {; C ~" p$ J3 `) T
GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。
9 u! v3 W' i6 Z4 v$ e9 P4 _. y5 w% a# i. z) O9 ?
- 8 N3 V2 D" V; g D5 N( w
2 I1 X! X/ _/ p2 ?0 |/ o
" m: [% W; e4 S1 O( x. X) W+ I( k( O' u
4 Z" Z7 d& c, |; c/ D- 4 o. A) h M, } {4 u) Y7 b
' K) `7 h" F8 h; k* O$ s T5 q# [- 7 p Z" f" W: Z7 w
- 6 _5 Y+ t, Z$ F, x
- . h# S, j6 C4 Y" N$ |3 J5 U
- ( X7 _5 G6 _5 }) D3 \, k
- * S9 d) ?! h+ W; n# j% B) W
- , M+ s& i. s. ~3 U3 a$ x8 y
, J$ y+ P7 t, j* I Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL- K6 W3 ]" L' k D# U1 o
FilterToConsumerBinding\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”Filter : __EventFilter.Name=”PowerShell Event Log Filter”Event Consumer\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。
$ E2 r) J9 Q' d. N当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。+ z# W6 b9 I2 H2 x! ]
执行命令脚本时,将执行以下操作:
9 A* l2 d6 D, n" [/ w / c7 W6 [% L% \1 v7 N: y
除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:: e, F& [* V/ T6 z w0 M, ^2 i
[color=#777575 !important]1.Mykings
9 p3 F! ]2 M* H0 L, V[color=#777575 !important]2.PowerGhost% e3 b- {( L9 ~; u# b; ]7 @
[color=#777575 !important]3.PCASTLE& e+ f" @& E) J$ q6 T2 S) F
[color=#777575 !important]4.BULEHERO
1 t1 e0 i6 i, D0 _& ]' j[color=#777575 !important]5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid
5 o" k4 B9 \( @( _- H4 k# r wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。
4 D7 T4 u" u" t" q) J 6 B3 @& b" B, g. s
另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。
1 w. S, H7 ]2 M. p1 z0 m 1 v' {( \# F, _0 K/ K
同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。* r! c* D6 p" `
除了command和ccbot,“powershell_command”类还包含以下对象:* U7 u# J. x$ x, g2 t
) b) X' S" d$ D5 k, iMiner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。+ `5 D) T% Q; c
恶意软件随后将执行以下命令:5 Z# Y! P3 V2 h) E6 h
8 f/ y- Y+ L3 H2 {2 |IOCs
3 I& E4 B9 ^5 x% `* T. e% y/ M' d
- u* L3 ?+ r- a4 g6 N6 d8 f: W + F( z) T! H( T/ O% \
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM
2 |8 B; g2 |6 e( x. X
: t6 w5 E. j- r, d精彩推荐
; W: K k) C7 A2 |4 e6 D1 R 0 w3 N- J( {$ J" N
 ; J2 k% _2 t" ]8 M& T- z
 / h, m& W' a1 Q! z1 s
 1 R- T; v3 @9 k0 O+ U( M
   3 C8 F) z, E4 J2 N
_ P6 O, H. q& r$ o, t% [来源:http://mp.weixin.qq.com/s?src=11×tamp=1570195804&ver=1892&signature=h4uIyhGytIN6WtkJO-hWkhyEyBzDoFa3qBdzUSYzrKD0GO84DefrPWz0RtugdXrTqZKaKAV8fY20ZEjTlTMWK0sm5EjYjONwIYHa3IDwbpXgU6kAFW-MbyBsXqG2B-5c&new=1- q2 h2 _ E7 N
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-4 22:35:29
