歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

無文件加密挖礦軟件GhostMiner

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿

網絡罪犯利用加密挖礦惡意軟件盜用計算資源牟利。早在2017年,已經觀察到他們如何應用無文件技術使檢測和監測更加困難。
8月觀察到一個名為ghostminer的無文件加密貨幣挖掘惡意軟件,該軟件利用無文件技術和windows管理工具(wmi)。還觀察到GhostMiner 變體修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主機文件。
GhostMiner細節
ghostminer使用wmi在受感染的計算機中執行任意代碼并保持持久控制。
Event Filter\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : root\cimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL
FilterToConsumerBinding
\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””
Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
Filter : __EventFilter.Name=”PowerShell Event Log Filter”
Event Consumer
\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E 64 encoded script>
GhostMiner在根目錄默認命名空間中安裝名為“powershell command”的wmi類。這個wmi類包含entries命令和base-64編碼函數的ccbot。
當觸發eventconsumer時,它將從已安裝的wmi“powershell command”對象的command和ccbot中讀取條目。
執行命令腳本時,將執行以下操作:

除了上述功能外,命令腳本還有一個wmi_killer函數,該函數終止正在運行的進程,并刪除與惡意軟件系相關聯的計劃任務和服務,例如:
1.Mykings
2.PowerGhost
3.PCASTLE
4.BULEHERO
5.其他一些惡意軟件家族使用的通用malxmr變體,例如:BlackSquid
wmi_killer還終止使用挖礦惡意軟件常用端口列表的tcp通信。

另一個命令腳本函數wmi_checkhosts能夠修改受感染計算機的主機文件。

同時,ccbot使用兩個ip地址,即118.24.63.208和103.105.59.68作為c&c服務器。它使用rot-13、base-64對send命令進行編碼。后門通信僅在上午12點到5點之間啟用。它每隔30秒使用“/update/cc/cc.php”連續嘗試連接到上述IP地址。
除了command和ccbot,“powershell_command”類還包含以下對象:

Miner是一個64位的有效負載,在對命令進行解碼和執行時丟棄。但是,在刪除之前,ghostminer會確定根驅動器上的可用磁盤空間。如果可用空間小于1 GB,則會減少10 MB大小的負載。然后ghostminer將追加2130字節的隨機值,該文件將保存為C:\windows\temp\lsass.exe。
惡意軟件隨后將執行以下命令:

IOCs

【聲明】:黑吧安全網(http://www.eyhadu.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        彩票大数据