GhostMiner:无文件加密钱银挖矿机兵器化WMI对象 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

GhostMiner:无文件加密钱银挖矿机兵器化WMI对象

申博_新闻事件 申博 41次浏览 未收录 0个评论

进击链分析标准化

0x00、前言 攻击链分析是最近比较火的话题,但是ATT&CK攻击模型是针对APT总结出来的,现实当中哪有那么多APT攻击?所以,很多厂商在探索处理日常碰到的针对性攻击。把检测到的安全监控点事件串联起来,形成攻击链。当然需要经过应急响应团队二次评估。 0x01、人工分析 攻击链分析要从实际的攻击案例分析开始,所以,第一步我们要通过人工分析了解黑客入侵的来龙去脉。 做人工分析也需要有基础数据收集: 1、资产指纹功能是EDR(endpoint detection response)产品重要的功能,通过对进程、网络连接等基础数据的收集,为进一步安全场景分析提高数据支撑

现在,仍有收集犯法分子运用加密钱银挖矿歹意软件来滥用受害者盘算资本来赢利。早在2017年,研究人员就发明了犯法市井运用无文件手艺使检测和监控变得很难。

本年8月2日,研究人员发明了一款无文件加密钱银挖矿软件——GhostMiner。该挖矿机兵器化了Windows management instrument(WMI)对象来完成无文件驻留、payload机制和反病毒软件绕过才能。研究人员还发明Mykings, PowerGhost, PCASTLE和BULEHERO等应用GhostMiner变种来修正受感染主机的文件。

研究人员还发明该歹意软件在举行门罗币加密钱银挖矿。早前对GhostMiner的剖析显现应用了MSSQL, phpMyAdmin, Oracle WebLogic的多个破绽来寻觅和进击潜伏的效劳器。

GhostMiner细节

GhostMiner运用WMI Event Subscriptions来在受感染的机械上装置驻留和实行恣意代码。

Event Filter
\\.\ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter”
EventNamespace : root\cimv2
Query : SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA ‘Win32_PerfFormattedData_PerfOS_System’
QueryLanguage : WQL   
FilterToConsumerBinding
\\.\ROOT\subscription:__FilterToConsumerBinding.Consumer=”CommandLineEventConsumer.Name=\”PowerShell Event Log Consumer\””,Filter=”__EventFilter.Name=\”PowerShell Event Log Filter\””
Consumer : CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
Filter : __EventFilter.Name=”PowerShell Event Log Filter”
Event Consumer
\\.\ROOT\subscription:CommandLineEventConsumer.Name=”PowerShell Event Log Consumer”
CommandLineTemplate : C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E <Base-64 encoded script>

GhostMiner还会在 root\Default定名空间装置一个名为PowerShell_Command的WMI类。该WMI类含有Command and CCBot纪录,个中含有base64编码的函数。

当EventConsumer触发后,就会从装置的WMI “PowerShell_Command” 对象的Command and CCBot读取纪录。

Command剧本实行后会实行一些行动:

GhostMiner:无文件加密钱银挖矿机兵器化WMI对象

表 1. Command剧本实行后的操纵

除了前面提到的函数外,Command剧本另有一个WMI_Killer函数,该函数的作用是停止运转的历程,删除与加密钱银挖矿机歹意软件家属相干的定时使命和效劳。比方:

1. Mykings

2. PowerGhost

3. PCASTLE

4. BULEHERO

5. 其他MALXMR 变种,如 BlackSquid

NIST宣布零信托架构草案

零信任(Zero Trust)是一组不断发展的网络安全术语,它将网络防御的边界缩小到单个或更小的资源组。零信任架构(Zero Trust Architecture,ZTA)战略是指并不根据物理或网络位置对系统授予完全可信的权限。对数据资源的访问权限只有当资源需要的时候才授予,在连接建立之前会进行认证。零信任架构是对企业级网络发展趋势的回应,企业级网络开始包含远程用户和位于企业网络边界的基于云的资产。零信任架构关注于保护资源、而非网络分段,因为网络位置不再被视为资源安全态势的主要组成

图1. WMI_Killer停止和删除的效劳名

GhostMiner:无文件加密钱银挖矿机兵器化WMI对象

图2. WMI_Killer删除的定时使命

GhostMiner:无文件加密钱银挖矿机兵器化WMI对象

图3. WMI_Killer停止的加密钱银挖矿相干的历程列表

WMI_Killer 还会停止加密钱银挖矿歹意软件经常使用的端口的TCP流量。

GhostMiner:无文件加密钱银挖矿机兵器化WMI对象

图4. WMI_Killer监控的端口

另一个敕令剧本函数WMI_CheckHosts能够修正受感染机械的host文件,修正与歹意软件相干的纪录。

GhostMiner:无文件加密钱银挖矿机兵器化WMI对象

图5. WMI_CheckHosts函数修正受感染机械的host文件

同时,CCBOT纪录能够运用两个IP地点作为C2效劳器,分别是118[.]24[.]63[.]208和103[.]105[.]59[.]68。它运用base64来编码发送的敕令,并ROT-13来解码吸收的敕令。

ROT-13是修正第13个字母的字母替代加密算法。

研究人员还发明后门通讯的时候在12 点到 5 点之间,当C2效劳器吸收到响应时运用invoke-expression (IEX)。不然会用“/Update/CC/CC.php” URI 途径每隔30秒就连接到前面提到的IP地点。

除了Command and CCBot外,PowerShell_Command类还含有以下对象:

Miner : <Base-64 encoded binary code>
Ver : <Version Number> (The current version is v2.13.0)
mPId : <Process ID of the running cryptocurrency-miner>
nPId : <Process ID of the installer>

挖矿机是一个Command解码和实行时开释的64位的payload。在payload开释前,GhostMiner会起首推断root目次的余暇空间,假如余暇空间小于1GB,就开释一个10MB大小的payload;不然就开释一个100MB大小的payload。然后,GhostMiner会加上一个2130字节的随机数。然后讲该文件保存为C:\Windows\Temp\lsass.exe。

然后歹意软件会实行以下敕令作为挖矿机实行的一部分:

Takeown.exe /f C:\Windows\Temp
                iCACLs.exe C:\Windows\Temp /Reset /T /C
                iCACLs.exe C:\Windows\Temp /Grant Everyone:F /T /C
                iCACLs.exe C:\Windows\Temp\lsass.exe /E /G Everyone:F /C
                NetSH Firewall Add AllowedProgram C:\Windows\Temp\lsass.exe “Windows Update”
                Start-Process –FilePath C:\Windows\Temp\lsass.exe –WindowStyle Hidden –PassThru

停止文章宣布,与该进击运动相干的XMR钱包只要50.278384965000 XMR (约3868.02美圆,27515人民币)。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/fileless-cryptocurrency-miner-ghostminer-weaponizes-wmi-objects-kills-other-cryptocurrency-mining-payloads/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明GhostMiner:无文件加密钱银挖矿机兵器化WMI对象
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址