用fileless 技术挖矿的恶意软件GhostMiner

在过去的一年里, 由于数字货币价格大幅提升，新的恶意挖矿软件随之不断出现。

Minerva实验室的安全研究员最近发现使用GhostMiner 恶意软件开展的攻击行动。GhostMiner的特点之一是无需文件fileless驻留的感染。

这种新的安全威胁使用了PowerShell 的evasion（规避）框架，Out-CompressedDll，和Invoke-ReflectivePEInjection，使用fileless 技术隐藏恶意代码。

每个恶意软件的组件都是为不同目的设计的: 一个 PowerShell 脚本以确保向新机器传播, 另一个用于执行实际的挖掘操作。

Minerva实验室的AsafAprozper and Gal Bitensky披露："这种规避方法在绕过安全工具方面非常有效: 一些有效载荷可以逃避所有的安全供应商的检测。"

安全研究人员将恶意可执行文件的检测与 fileless 方法进行了比较, 发现一旦 fileless 模块被删除, 大多数VirusTotal 供应商就会检测到有效负载。

负责感染新受害者的 PowerShell 脚本目标是运行 Oracle WebLogic (利用 CVE-2017-10271 漏洞)、MSSQL和 phpMyAdmin 的服务器。

攻击只试图利用 WebLogic 服务器。因此, 恶意代码需要扫描 IP 地址, 每秒创建多个新的 TCP连接, 以尝试发现易受攻击的目标。

通过 Base64-encoded 请求和答复, 通过 HTTP 执行与命令和控制 (c & c) 服务器的通信。恶意软件用来交换消息的协议涉及一个简单的握手, 后跟执行各种任务的请求。任务完成后, 将向服务器发送一个新请求。

该恶意软件将直接从内存启动一个定制版本的开源 XMRig工具作为挖掘组件。

Minerva瓦实验室的研究人员说, 采矿作业在他们发现的时候已经运行了大约三周, 但是根据攻击者使用过的钱包, 迄今只制造了 1.03 Monero (约200美元)。然而, 攻击者可能还在使用研究人员尚未检测到的地址。

"GhostMiner运动的低收入" 另一个潜在的解释是采矿团伙之间的激烈竞争。有很多潜在的攻击者, 但他们使用的技术是公开的。安全研究人员注意到, 攻击者知道他们的竞争对手所用的共享工具集, 并试图感染同样脆弱的机器。

分析的样品本身包含了各种技术, 包括旨在杀死任何运行在目标机器上的其他矿工进程。其中包括：使用 PowerShell的 "Stop-Process -force" 命令、使用列入黑名单的服务和计划任务的方式, 以及通过其 commandline 参数或查看已建立的 TCP 连接，来停止和删除其他矿工。

可喜的是Minerva实验室安全研究人员已经提供了一个防御此类攻击的脚本。具体链接：

https://github.com/MinervaLabsResearch/BlogPosts/tree/master/MinerKiller

参考：

https://www.securityweek.com/fileless-crypto-mining-malware-discovered

https://blog.minerva-labs.com/ghostminer-cryptomining-malware-goes-fileless