安基网 首页 资讯 安全报 查看内容

无文件加密挖矿软件GhostMiner

2019-10-5 11:51| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和Bule ...

网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。

8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。

GhostMiner细节

ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。

Event Filter.ROOTsubscription:__EventFilter.Name=”PowerShell Event Log Filter”EventNamespace : rootcimv2Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’QueryLanguage : WQL

FilterToConsumerBinding
.ROOTsubscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=”PowerShell Event Log Consumer””,Filter=”__EventFilter.Name=”PowerShell Event Log Filter””
Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
Filter : __EventFilter.Name=”PowerShell Event Log Filter”
Event Consumer
.ROOTsubscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
CommandLineTemplate : C:WindowsSystem32WindowsPowerShellv1.0PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E

GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。

当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。

执行命令脚本时,将执行以下操作:

除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:

1.Mykings
2.PowerGhost
3.PCASTLE
4.BULEHERO
5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid

wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。

另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。

同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。

除了command和ccbot,“powershell_command”类还包含以下对象:

Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:windowstemplsass.exe。

恶意软件随后将执行以下命令:

IOCs

以上全部数据来源互联网,如有侵权,请及时与我们联系,我们将进行删除,谢谢



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6743795788276564492/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部