专栏首页FreeBuf无文件加密挖矿软件GhostMiner

无文件加密挖矿软件GhostMiner

网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。

8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。

GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。

Event Filter
\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”
EventNamespace : root\cimv2
Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’
QueryLanguage : WQL

FilterToConsumerBinding
\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””
Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
Filter : __EventFilter.Name=”PowerShell Event Log Filter”
Event Consumer
\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E <Base-64 encoded script>

GhostMiner在根目录默认命名空间中安装名为“powershell command”的wmi类。这个wmi类包含entries命令和base-64编码函数的ccbot。

当触发eventconsumer时,它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。

执行命令脚本时,将执行以下操作:

除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如:

1.Mykings 2.PowerGhost 3.PCASTLE 4.BULEHERO 5.其他一些恶意软件家族使用的通用malxmr变体,例如:BlackSquid

wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。

另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。

同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。它使用rot-13、base-64对send命令进行编码。后门通信仅在上午12点到5点之间启用。它每隔30秒使用“/update/cc/cc.php”连续尝试连接到上述IP地址。

除了command和ccbot,“powershell_command”类还包含以下对象:

Miner是一个64位的有效负载,在对命令进行解码和执行时丢弃。但是,在删除之前,ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。

恶意软件随后将执行以下命令:

IOCs

本文分享自微信公众号 - FreeBuf(freebuf),作者:Kriston

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • “中毒新闻行动”:黑客利用后门对中国香港iOS用户发起水坑攻击

    这是一场旨在利用iOS后门感染香港用户的运动,该iOS后门被命名为lightSpy,可使攻击者接管设备。

    FB客服
  • 攻击者巧借时机,用有关过期安全证书的虚假警报传播恶意软件

    网络罪犯分子一直在尝试一种新的分发恶意软件的方法:通过含有指向恶意软件的“安装(推荐)”按钮的过期安全证书虚假警报。

    FB客服
  • 自动化合规测试工具InSpec 2.0促进DevSecOps发展

    在当前的网络空间形势下,软件开发者需要在开发阶段就考虑到安全问题,因此应用程序上线前针对各种法律法规的合规测试也极为重要。合规测试实施起来困难且耗时,测试结果也...

    FB客服
  • “中毒新闻行动”:黑客利用后门对中国香港iOS用户发起水坑攻击

    这是一场旨在利用iOS后门感染香港用户的运动,该iOS后门被命名为lightSpy,可使攻击者接管设备。

    FB客服
  • HDUOJ-----4512吉哥系列故事——完美队形I(LCIS)

    吉哥系列故事——完美队形I Time Limit: 3000/1000 MS (Java/Others)    Memory Limit: 65535/3276...

    Gxjun
  • JavaScript 的 4 种数组遍历方法: for VS forEach() VS for/in VS for/of

    我们有多种方法来遍历 JavaScript 的数组或者对象,而它们之间的区别非常让人疑惑。Airbnb 编码风格禁止使用 for/in 与 for/of,你知道...

    Fundebug
  • 自定义异常

    sr
  • 【干货】计算机视觉视频理解领域的经典方法和最新成果

    新智元
  • Apache Kylin 查询流程源码剖析

    其中 olap_model_6607769716595835175.json 内容如下:

    codingforfun
  • web服务器,验证码,Xftp使用方法

    直接装的wamp 腾讯云主机控制台 安全组里可以配置要开放的端口 关闭防火墙

    达达前端

扫码关注云+社区

领取腾讯云代金券