安基網 首頁 資訊 安全報 查看內容

無文件加密挖礦軟件GhostMiner

2019-10-5 11:51| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 網絡罪犯利用加密挖礦惡意軟件盜用計算資源牟利。早在2017年,已經觀察到他們如何應用無文件技術使檢測和監測更加困難。8月觀察到一個名為ghostminer的無文件加密貨幣挖掘惡意軟件,該軟件利用無文件技術和windows管理工具(wmi)。還觀察到GhostMiner 變體修改了被Mykings、PowerGhost、PCASTLE和Bule ...

網絡罪犯利用加密挖礦惡意軟件盜用計算資源牟利。早在2017年,已經觀察到他們如何應用無文件技術使檢測和監測更加困難。

8月觀察到一個名為ghostminer的無文件加密貨幣挖掘惡意軟件,該軟件利用無文件技術和windows管理工具(wmi)。還觀察到GhostMiner 變體修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主機文件。

GhostMiner細節

ghostminer使用wmi在受感染的計算機中執行任意代碼并保持持久控制。

Event Filter.ROOTsubscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : rootcimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL

FilterToConsumerBinding
.ROOTsubscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=”PowerShell Event Log Consumer””,Filter=”__EventFilter.Name=”PowerShell Event Log Filter””
Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
Filter : __EventFilter.Name=”PowerShell Event Log Filter”
Event Consumer
.ROOTsubscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
CommandLineTemplate : C:WindowsSystem32WindowsPowerShellv1.0PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E

GhostMiner在根目錄默認命名空間中安裝名為“powershell command”的wmi類。這個wmi類包含entries命令和base-64編碼函數的ccbot。

當觸發eventconsumer時,它將從已安裝的wmi“powershell command”對象的command和ccbot中讀取條目。

執行命令腳本時,將執行以下操作:

除了上述功能外,命令腳本還有一個wmi_killer函數,該函數終止正在運行的進程,并刪除與惡意軟件系相關聯的計劃任務和服務,例如:

1.Mykings
2.PowerGhost
3.PCASTLE
4.BULEHERO
5.其他一些惡意軟件家族使用的通用malxmr變體,例如:BlackSquid

wmi_killer還終止使用挖礦惡意軟件常用端口列表的tcp通信。

另一個命令腳本函數wmi_checkhosts能夠修改受感染計算機的主機文件。

同時,ccbot使用兩個ip地址,即118.24.63.208和103.105.59.68作為c&c服務器。它使用rot-13、base-64對send命令進行編碼。后門通信僅在上午12點到5點之間啟用。它每隔30秒使用“/update/cc/cc.php”連續嘗試連接到上述IP地址。

除了command和ccbot,“powershell_command”類還包含以下對象:

Miner是一個64位的有效負載,在對命令進行解碼和執行時丟棄。但是,在刪除之前,ghostminer會確定根驅動器上的可用磁盤空間。如果可用空間小于1 GB,則會減少10 MB大小的負載。然后ghostminer將追加2130字節的隨機值,該文件將保存為C:windowstemplsass.exe。

惡意軟件隨后將執行以下命令:

IOCs

以上全部數據來源互聯網,如有侵權,請及時與我們聯系,我們將進行刪除,謝謝



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6743795788276564492/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧