导航菜单
首页 » 大卫盗金 » 正文

甲硝唑片-兵器化WMI目标、杀死竞争对手,这便是门罗币挖矿病毒GhostMiner

最近,网络安全公司趋势科技(Trend Micro)的研究人员发现了GhostMiner加密钱银挖矿病毒的一个新变种。该病毒不只可以兵器化Windows办理标准(Windows management instrument,WMI)方针,并且还可以杀死其他挖矿病毒的进程,以便完成“无文件”驻留以及独占受感染核算机资源。

剖析标明,GhostMiner的方针是发掘门罗币,并会运用MSSQL、phpMyAdmin和Oracle WebLogic的多个缝隙来查找并感染未及时装置相应补丁的核算机。

GhostMiner的详细信息

首要,它会运用WMI事情订阅(WMI Event Subscriptions)在受感染的核算机甲硝唑片-兵器化WMI目标、杀死竞争对手,这便是门罗币挖矿病毒GhostMiner上完成持久驻留以及履行恣意代码。

然后,它还将在 root\Default命名空间装置一个名为“PowerShell_Command”的WMI类,该WMI类包含两个条目——包含Base-64编码函数的Command 和CCBot。

当Ev寻宝ent Consumer被触发时,它将从Command和CCBot中读取函数。

Command脚本履行后,会履行以下操作:

表1.Command脚本履行的函数列表

除上述函数外,Command脚本还具有一个WMI_Killer函数,该函数的作用是停止正在运转的进程以及删去与其他已知挖矿病毒相关的计划任务和服务,例如:

1. Mykings

2. PowerGhost

3. PCASTLE

4. BULEHERO

5. 其他MALXMR 变种,包含BlackSquid

图1. WMI_Killer停止和删去的服务称号列表

图2. WMI_Killer删去的计划任务

图3. WMI_Killer停止的与其他已知挖矿病毒相关的进程列表

此外,WMI_Killer 还会停止其他已知挖矿病毒常用端口的TCP通讯。

图4. WMI_Killer监督的端口列表

另一个Command脚本函数WMI_CheckHosts可以修正受感染核算机的host文件,以及修正与其他已知甲硝唑片-兵器化WMI目标、杀死竞争对手,这便是门罗币挖矿病毒GhostMiner挖矿病毒相关的条目。

图5. WMI_CheckHosts函数可以依据与其他已知挖矿病毒相关的映射条目来修正受感染核算机的

一起,CCBOT条目会运甲硝唑片-兵器化WMI目标、杀死竞争对手,这便是门罗币挖矿病毒GhostMiner用两个IP地址(118[.]24[.]63[.]208和103[.]105[.]59[.]68)作为C2服务器——运用Base-64对发送的指令进行编码,运用ROT-13对接纳的指令进行解码。

除Command 和CCBot外,PowerShell_Command类还含有以下方针:

  • Miner :
  • Ver : <版本号>(当时版本号是v2.13.0)
  • mPId : <正在运转的挖矿病毒的进程id>
  • nPId : <装置程序的进程id>

Miner是一个64位的有效载荷,在对Command进行解码和履行时开释。在开释有效载荷之前,GhostMiner会确认root驱动器上的可用磁盘空间。假如可用空间小于1 GB,它将开释一个10 MB巨细的有效载荷。不然,它将开释一个100 MB巨细的有效载荷。然后,有效载荷将被被保存为“C:\Windows\Temp\lsass.exe”。

接下来,有效载荷将履行以下指令,开端挖矿。

Takeown.exe /f C:\Windows\Temp
iCACLs.exe C:\Windows\Temp /Reset /T /C
iCACLs.exe C:\Windows\Temp /Grant Everyone:F /T /C
iCACLs.exe C:\Windows\Temp\lsass.exe /E /G Everyone:F /C
NetSH Firewall Add AllowedProgram C:\Windows\Temp\lsass.exe “Windows Update”
Start-Process –FilePath C:\Windows\Temp\lsass.exe –WindowStyle Hidden –PassThru

定论

现在,越来越多的网络犯罪分子开端凭借加密钱银挖矿病毒来挣钱,甚至有许多此前靠勒索软件营生的人也参加到了歹意挖矿这个队伍。

可以运用WMI方针完成“无文件”驻留,可以履行各种查看来杀死竞争对手, GhostMiner挖矿病毒必定会在往后很长的一段时间里持续深受网络犯罪分子的喜欢。

二维码