攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

栏目: 编程工具 · 发布时间: 6年前

内容简介:最近,一个有意思的矿工程序出现在了卡巴斯基实验室的监控系统上。这种恶意软件被研究人员称为PowerGhost,它能够在一个系统中隐秘地创建自己,并在大型企业网络中传播,感染工作站和服务器。整合这种隐藏能力是矿工的典型特征:受感染的设备越多,它们被保留的时间就越长,攻击者的利润也就越大。因此,经常可以看到合法软件被矿工感染,而合法软件的流行有助于促进恶意软件的扩散。然而,PowerGhost的创建者更是领先一步,开始使用无文件技术在受害者系统中创建非法矿工。看来,加密货币的日益流行和价格增长已经使犯罪分子们

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

最近,一个有意思的矿工程序出现在了卡巴斯基实验室的监控系统上。这种恶意软件被研究人员称为PowerGhost,它能够在一个系统中隐秘地创建自己,并在大型企业网络中传播,感染工作站和服务器。整合这种隐藏能力是矿工的典型特征:受感染的设备越多,它们被保留的时间就越长,攻击者的利润也就越大。因此,经常可以看到合法软件被矿工感染,而合法软件的流行有助于促进恶意软件的扩散。然而,PowerGhost的创建者更是领先一步,开始使用无文件技术在受害者系统中创建非法矿工。看来,加密货币的日益流行和价格增长已经使犯罪分子们相信,有必要投资于新的采矿技术——正如卡巴斯基实验室的数据所显示的那样,矿工正在逐步取代勒索木马。

技术说明和传播方法

PowerGhost是一个经混淆的PowerShell脚本,包含核心代码和以下附加模块:实际矿工、mimikatz、矿工操作所需的库msvcp120.dll和msvcr120.dll、用于反射PE注入的模块和用于EternalBlue漏洞利用的shellcode。

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

经混淆的脚本的片段

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

在base64中编码的附加模块

恶意程序使用了大量的无文件技术来保持自己不被用户和防病毒技术发现,并使用漏洞利用或远程管理工具(Windows管理工具)来远程感染受害者设备。在感染期间,运行一个单行的PowerShell脚本,下载矿工的主体并立即启动它,而不是将其写入硬盘驱动器。

之后脚本的作用可分为几个阶段:

  • 自动自我更新。PowerGhost会检查C&C上是否有新版本。如果有,它会下载新版本并启动,而不是启动原来的版本。

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

  • 传播。在mimikatz的帮助下,矿工从当前设备获取用户帐户凭证,使用它们登录并尝试通过WMI启动自身的副本,尝试在本地网络中传播。另外,PowerGhost还会尝试使用臭名昭著的EternalBlue漏洞(MS17-010,CVE-2017-0144)在本地网络中传播。
  • 特权升级。当矿工通过mimikatz和WMI进行传播时,它最终可能会出现在具有用户权限的新设备上。然后,它将尝试使用针对MS16-032、MS15-051和CVE-2018-8120的32位或64位的漏洞利用来升级其在系统中的权限。
  • 在系统中建立立足点。PowerGhost将所有模块保存为WMI类的属性。矿工的主体以WMI订阅中的一个单行PowerShell脚本的形式保存,以每90分钟激活一次。

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

  • 有效载荷。最后,该脚本通过反射PE注入加载PE文件来启动矿工。

在其中一个PowerGhost版本中,研究人员发现了一个用于进行DDoS攻击的工具。恶意软件作者显然决定通过提供DDoS服务来赚取一些额外的收入。

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

RunDDOS函数

值得指出的是,这是唯一一个将文件复制到硬盘驱动器的矿工函数。这很可能是一个用于测试的工具,随后将会被一个无文件实现所替换。做出这种推断的依据来源于DDoS模块启动的特殊方式:脚本会下载两个PE模块,logos.png和cohernece.txt。前者以java-log-9527.log的形式保存到硬盘驱动器中,是进行DDoS攻击的可执行文件。文件cohernece.txt受软件保护工具Themida的保护,并会在虚拟环境中检查执行情况。如果没有检测到沙箱,cohernece.txt将启动文件java-log-9527.log。通过这种奇怪的方式,已准备就绪的DDoS模块得到了一个补充函数,用于检查虚拟环境中的执行情况。

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

文件cohernece.txt的反汇编代码的片段

数据统计和地理分布

企业用户首当其冲受到攻击:PowerGhost更容易在一个公司的本地局域网中传播。

攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹

矿工感染的地理分布

PowerGhost主要出现在印度、巴西、哥伦比亚和土耳其。

卡巴斯基实验室的产品通过以下内容来检测矿工或其组件:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

在nanopool.org和minexmr.com上的电子钱包:

  • 43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb
  • 49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h1HkXaa1YJ7iz3AHtJNK5MD93z6tV9H

IoCs

C&C主机名:

7h4uk[.]com

128.43.62

7h4uk[.]com

MD5:

AEEB46A88C9A37FA54CA2B64AE17F248

4FE2DE6FBB278E56C23E90432F21F6C8

71404815F6A0171A29DE46846E78A079

81E214A4120A4017809F5E7713B7EAC8

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

风云Flash ActionScript高级编程艺术

风云Flash ActionScript高级编程艺术

赵英杰 / 第1版 (2006年7月1日) / 2006-7 / 45.00元

本书从基本的Actionscript语言概念开始介绍,配以实际的程序实例并穿插生动的图示说明,深入浅出地讲解Flash ActionScript程序的运用逻辑与概念,让读者从实例中学习进而融会贯通。同时,本书也说明面向对象程序设计(00P)的语法及常用类别实例,提升读者制作F1ash作品的造诣和能力。全书共分为10章,精彩实例包括以三角函数制作的抽奖轮盘,FlashLite手机版孔明棋游戏,Bit......一起来看看 《风云Flash ActionScript高级编程艺术》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具