在过去的一年里, 由于数字货币价格大幅提升,新的恶意挖矿软件随之不断出现。
Minerva实验室的安全研究员最近发现使用GhostMiner 恶意软件开展的攻击行动。GhostMiner的特点之一是无需文件fileless驻留的感染。
这种新的安全威胁使用了PowerShell 的evasion(规避)框架,Out-CompressedDll,和Invoke-ReflectivePEInjection,使用fileless 技术隐藏恶意代码。
每个恶意软件的组件都是为不同目的设计的: 一个 PowerShell 脚本以确保向新机器传播, 另一个用于执行实际的挖掘操作。
Minerva实验室的AsafAprozper and Gal Bitensky披露:"这种规避方法在绕过安全工具方面非常有效: 一些有效载荷可以逃避所有的安全供应商的检测。"
安全研究人员将恶意可执行文件的检测与 fileless 方法进行了比较, 发现一旦 fileless 模块被删除, 大多数VirusTotal 供应商就会检测到有效负载。
负责感染新受害者的 PowerShell 脚本目标是运行 Oracle WebLogic (利用 CVE-2017-10271 漏洞)、MSSQL和 phpMyAdmin 的服务器。
攻击只试图利用 WebLogic 服务器。因此, 恶意代码需要扫描 IP 地址, 每秒创建多个新的 TCP连接, 以尝试发现易受攻击的目标。
通过 Base64-encoded 请求和答复, 通过 HTTP 执行与命令和控制 (c & c) 服务器的通信。恶意软件用来交换消息的协议涉及一个简单的握手, 后跟执行各种任务的请求。任务完成后, 将向服务器发送一个新请求。
该恶意软件将直接从内存启动一个定制版本的开源 XMRig工具作为挖掘组件。
Minerva瓦实验室的研究人员说, 采矿作业在他们发现的时候已经运行了大约三周, 但是根据攻击者使用过的钱包, 迄今只制造了 1.03 Monero (约200美元)。然而, 攻击者可能还在使用研究人员尚未检测到的地址。
"GhostMiner运动的低收入" 另一个潜在的解释是采矿团伙之间的激烈竞争。有很多潜在的攻击者, 但他们使用的技术是公开的。安全研究人员注意到, 攻击者知道他们的竞争对手所用的共享工具集, 并试图感染同样脆弱的机器。
分析的样品本身包含了各种技术, 包括旨在杀死任何运行在目标机器上的其他矿工进程。其中包括:使用 PowerShell的 "Stop-Process -force" 命令、使用列入黑名单的服务和计划任务的方式, 以及通过其 commandline 参数或查看已建立的 TCP 连接,来停止和删除其他矿工。
可喜的是Minerva实验室安全研究人员已经提供了一个防御此类攻击的脚本。具体链接:
https://github.com/MinervaLabsResearch/BlogPosts/tree/master/MinerKiller
参考:
https://www.securityweek.com/fileless-crypto-mining-malware-discovered
https://blog.minerva-labs.com/ghostminer-cryptomining-malware-goes-fileless
领取专属 10元无门槛券
私享最新 技术干货