最近,网络安全公司趋势科技的研究人员发现了GhostMiner加密货币挖掘病毒的新变种。该病毒不仅可以将Windows管理工具(WMI)对象武器化,还可以查杀其他挖矿病毒进程,从而实现“无文件”驻留,独占被感染的计算机资源。
分析显示,GhostMiner的目标是挖掘门罗币,会利用MSSQL、phpMyAdmin和Oracle WebLogic的多个漏洞,找到并感染没有及时安装相应补丁的电脑。
GhostMiner的详细信息首先,它会利用WMI事件订阅来实现长期驻留,并在受感染的计算机上执行任意代码。
然后,它还会在root\\Default命名空间中安装一个名为“PowerShell_Command”的WMI类,其中包含两个条目:—— Command和具有Base-64编码功能的CCBot。
当事件消费者被触发时,它将从命令和CCBot中读取函数。
执行命令脚本后,将执行以下操作:
表1。1执行的功能列表。命令脚本
除了上述函数,命令脚本还有一个WMI _黑仔函数,用于终止正在运行的进程,删除与其他已知挖矿病毒相关的预定任务和服务,例如:
1.Mykings
2.强力幽灵
3.PCASTLE
4.布勒赫罗
5.其他MALXMR变体,包括BlackSquid
图一。wmi _ killer终止和删除的服务名列表
图二。wmi _ killer删除的计划任务
图3。与WMI杀手终止的其他已知采矿病毒相关的进程列表
此外,WMI _黑仔还将终止已知挖矿病毒常用的其他端口的TCP通信。
图4。wmi _ killer监控的端口列表
另一个命令脚本函数WMI _检查主机,可以修改被感染计算机的主机文件和与其他已知挖矿病毒相关的条目。
图5。WMI_CheckHosts函数可以修改被感染计算机的
同时,CCBOT条目将使用两个IP地址(118[。]24[.]63[.]208和103[。]105[.]59[.]68)作为C2服务器3354,用Base-64编码发送的命令,用ROT-13解码接收的命令。
除了Command和CCBot之外,PowerShell_Command类还包含以下对象:
Miner: Base-64编码的二进制代码Ver:版本号(当前版本号为v2.13.0)mPId:运行挖矿病毒的进程IdnPId:安装程序Miner的进程ID是64位的有效载荷,在命令解码执行时释放。GhostMiner在释放有效负载之前确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB,它将释放10 MB的有效负载。否则,它将释放100 MB的有效载荷。然后,有效负载将被保存为“C:\\Windows\\Temp\\lsass.exe”。
接下来,有效负载将执行以下命令来开始挖掘。
Takeown.exe/F C:\\ Windows \\ Temp icacls . exe C:\\ Windows \\ Temp/Reset/T/CICA cls . exe C:\\ Windows \\ Temp/Grant every one:F/T/CICA cls . exe C:\\ Windows \\ Temp \\ lsass.exe/E/G every one:F/CNET sh防火墙Add allowed program C:\\ Windows \\ Temp \\ lsass . exe“Windows Update”Start-Processfile path C:\\ Windows \\ Temp \\ lsass . exeWindow Style Hiddenpass through结语如今越来越多的网络犯罪分子
能够利用WMI对象实现“无文件”居留,并执行各种检查杀死竞争对手,GhostMiner挖矿病毒在未来很长一段时间内势必会继续受到网络犯罪分子的喜爱。