曲速未来披露：一个集EternalBlue和PowerShell一身的多功能矿工

曲速区：PowerGhost密码挖掘机能够在受感染的系统上保持未被发现，并且可以通过利用无文件感染技术自行传播。

导语：近日，曲速未来实验室报导经研究人员发现一起恶意挖矿活动，使用的恶意软件名为PowerGhost。

该矿工的目标是工作站和服务器，它允许它分布在大型企业网络中。卡巴斯基发现，威胁利用与国家安全局相关的EternalBlue漏洞进行传播

新的威胁再一次证明，加密货币的日益普及和速度已经确定网络犯罪分子采用巧妙的采矿技术，并逐渐将勒索软件特洛伊木马作为支持加密矿工的恶意软件。

PowerGhost是一个经混淆的PowerShell脚本，不仅包含恶意软件的核心代码，还包含一系列附加模块，如矿工所需的矿工和库的操作、Mimikatz、用于反射PE注入的模块，以及用于EternalBlue漏洞利用的shellcode。

混淆的脚本代码片段

编码的添加模板

还被指出，通过采用多种无文件技术，恶意软件对用户来说仍然不明显，并且未被防病毒技术检测到。

恶意程序使用了大量的无文件技术来保持自己不被用户和防病毒技术发现，并在通过漏洞利用程序或远程管理工具（Windows Management Instrumentation）执行的感染期间，执行单行PowerShell脚本以放下矿工的主体并立即启动它，而不是将其写入硬盘驱动器。

之后，脚本（PowerGhost本身）检查命令和控制（CaC）服务器，如果有新版本可用，它将获取并运行它。而不是启动原来的版本。

Mimikatz用于从计算机获取用户帐户凭据。然后，恶意软件使用它们登录并尝试通过WMI启动初始脚本的副本，在本地网络上传播。威胁也试图利用EternalBlue漏洞（CVE-2017-0144）进行传播。

在系统中建立立足点。PowerGhost将所有模块保存为WMI类的属性。矿工的主体以WMI订阅中的一个单行PowerShell脚本的形式保存，以每90分钟激活一次。

有效载荷。最后，该脚本通过反射PE注入加载PE文件来启动矿工。

一个PowerGhost版本还包括启动分布式拒绝服务（DDoS）攻击的能力，可能是因为恶意软件作者试图通过提供DDoS服务来赚取额外收入。

名为RunDDOS的PowerShell函数

值得指出的是，这个DDoS功能是唯一一个将文件复制到硬盘驱动器的矿工函数，而这个功能被认为它将在未来版本的恶意软件中被替换为无文件实现。研究人员认为DDoS功能被添加到恶意软件中，因为它以一种特殊的方式启动，其中DDoS模块和启动它的功能被下载并单独保存到磁盘。文件cohernece.txt受软件保护工具Themida的保护，并会在虚拟环境中检查执行情况。如果没有检测到沙箱，cohernece.txt将启动文件java-log-9527.log。通过这种奇怪的方式，已准备就绪的DDoS模块得到了一个补充函数，用于检查虚拟环境中的执行情况。

cohernece.txt文件中分解的代码段

到目前为止，PowerGhost主要是在企业局域网中观察到的。主要在印度，巴西，哥伦比亚和土耳其遇到。

挖矿机的感染地图

本文章内容来自微信公众号【曲速未来安全区】