内容简介:最近,一个有意思的矿工程序出现在了卡巴斯基实验室的监控系统上。这种恶意软件被研究人员称为PowerGhost,它能够在一个系统中隐秘地创建自己,并在大型企业网络中传播,感染工作站和服务器。整合这种隐藏能力是矿工的典型特征:受感染的设备越多,它们被保留的时间就越长,攻击者的利润也就越大。因此,经常可以看到合法软件被矿工感染,而合法软件的流行有助于促进恶意软件的扩散。然而,PowerGhost的创建者更是领先一步,开始使用无文件技术在受害者系统中创建非法矿工。看来,加密货币的日益流行和价格增长已经使犯罪分子们
最近,一个有意思的矿工程序出现在了卡巴斯基实验室的监控系统上。这种恶意软件被研究人员称为PowerGhost,它能够在一个系统中隐秘地创建自己,并在大型企业网络中传播,感染工作站和服务器。整合这种隐藏能力是矿工的典型特征:受感染的设备越多,它们被保留的时间就越长,攻击者的利润也就越大。因此,经常可以看到合法软件被矿工感染,而合法软件的流行有助于促进恶意软件的扩散。然而,PowerGhost的创建者更是领先一步,开始使用无文件技术在受害者系统中创建非法矿工。看来,加密货币的日益流行和价格增长已经使犯罪分子们相信,有必要投资于新的采矿技术——正如卡巴斯基实验室的数据所显示的那样,矿工正在逐步取代勒索木马。
技术说明和传播方法
PowerGhost是一个经混淆的PowerShell脚本,包含核心代码和以下附加模块:实际矿工、mimikatz、矿工操作所需的库msvcp120.dll和msvcr120.dll、用于反射PE注入的模块和用于EternalBlue漏洞利用的shellcode。
经混淆的脚本的片段
在base64中编码的附加模块
恶意程序使用了大量的无文件技术来保持自己不被用户和防病毒技术发现,并使用漏洞利用或远程管理工具(Windows管理工具)来远程感染受害者设备。在感染期间,运行一个单行的PowerShell脚本,下载矿工的主体并立即启动它,而不是将其写入硬盘驱动器。
之后脚本的作用可分为几个阶段:
- 自动自我更新。PowerGhost会检查C&C上是否有新版本。如果有,它会下载新版本并启动,而不是启动原来的版本。
- 传播。在mimikatz的帮助下,矿工从当前设备获取用户帐户凭证,使用它们登录并尝试通过WMI启动自身的副本,尝试在本地网络中传播。另外,PowerGhost还会尝试使用臭名昭著的EternalBlue漏洞(MS17-010,CVE-2017-0144)在本地网络中传播。
- 特权升级。当矿工通过mimikatz和WMI进行传播时,它最终可能会出现在具有用户权限的新设备上。然后,它将尝试使用针对MS16-032、MS15-051和CVE-2018-8120的32位或64位的漏洞利用来升级其在系统中的权限。
- 在系统中建立立足点。PowerGhost将所有模块保存为WMI类的属性。矿工的主体以WMI订阅中的一个单行PowerShell脚本的形式保存,以每90分钟激活一次。
- 有效载荷。最后,该脚本通过反射PE注入加载PE文件来启动矿工。
在其中一个PowerGhost版本中,研究人员发现了一个用于进行DDoS攻击的工具。恶意软件作者显然决定通过提供DDoS服务来赚取一些额外的收入。
RunDDOS函数
值得指出的是,这是唯一一个将文件复制到硬盘驱动器的矿工函数。这很可能是一个用于测试的工具,随后将会被一个无文件实现所替换。做出这种推断的依据来源于DDoS模块启动的特殊方式:脚本会下载两个PE模块,logos.png和cohernece.txt。前者以java-log-9527.log的形式保存到硬盘驱动器中,是进行DDoS攻击的可执行文件。文件cohernece.txt受软件保护工具Themida的保护,并会在虚拟环境中检查执行情况。如果没有检测到沙箱,cohernece.txt将启动文件java-log-9527.log。通过这种奇怪的方式,已准备就绪的DDoS模块得到了一个补充函数,用于检查虚拟环境中的执行情况。
文件cohernece.txt的反汇编代码的片段
数据统计和地理分布
企业用户首当其冲受到攻击:PowerGhost更容易在一个公司的本地局域网中传播。
矿工感染的地理分布
PowerGhost主要出现在印度、巴西、哥伦比亚和土耳其。
卡巴斯基实验室的产品通过以下内容来检测矿工或其组件:
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
在nanopool.org和minexmr.com上的电子钱包:
- 43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb
- 49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h1HkXaa1YJ7iz3AHtJNK5MD93z6tV9H
IoCs
C&C主机名:
7h4uk[.]com
128.43.62
7h4uk[.]com
MD5:
AEEB46A88C9A37FA54CA2B64AE17F248
4FE2DE6FBB278E56C23E90432F21F6C8
71404815F6A0171A29DE46846E78A079
81E214A4120A4017809F5E7713B7EAC8
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上所述就是小编给大家介绍的《攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 加密聊天应用Signal推出隐匿发送方身份功能
- “匿影”挖矿病毒:借助公共网盘和图床隐匿自身
- 曲速未来 :黑客组织“隐匿者”技术升级再次作恶暴力威胁入侵全网用户
- 安全运维之如何找到隐匿于last和w命令中的ssh登录痕迹
- 攻防系统之攻防环境介绍&搭建
- 勒索病毒攻防演练
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。