GhostMiner挖矿病毒来袭 专挑不打补丁的服务器

2019年10月13日08:16:45 发表评论

GhostMiner挖矿病毒来袭 专挑不打补丁的服务器

病毒简介

最近,网络安全研究人员发现了GhostMiner加密货币挖矿病毒的一个新变种。该病毒不仅能够武器化Windows管理规范(Windows management instrument,WMI)对象,而且还能够杀死其他挖矿病毒的进程,以便实现“无文件”驻留以及独占受感染计算机资源。

分析表明,GhostMiner的目标是挖掘门罗币,并会利用MSSQL、phpMyAdmin和Oracle WebLogic的多个漏洞来查找并感染未及时安装相应补丁的计算机。

GhostMiner的详细信息

首先,它会利用WMI事件订阅(WMI Event Subscriptions)在受感染的计算机上实现长久驻留以及执行任意代码。

然后,它还将在 root\Default命名空间安装一个名为“PowerShell_Command”的WMI类,该WMI类包含两个条目——包含Base-64编码函数的Command 和CCBot。

当Event Consumer被触发时,它将从Command和CCBot中读取函数。

除上述函数外,Command脚本还拥有一个WMI_Killer函数,该函数的作用是终止正在运行的进程以及删除与其他已知挖矿病毒相关的计划任务和服务,例如:

1. Mykings

2. PowerGhost

3. PCASTLE

4. BULEHERO

5. 其他MALXMR变种,包括BlackSquid

此外,WMI_Killer 还会终止其他已知挖矿病毒常用端口的TCP通信。

另一个Command脚本函数WMI_CheckHosts能够修改受感染计算机的host文件,以及修改与其他已知挖矿病毒相关的条目。

同时,CCBOT条目会使用两个IP地址(118[.]24[.]63[.]208和103[.]105[.]59[.]68)作为C2服务器——使用Base-64对发送的命令进行编码,使用ROT-13对接收的命令进行解码。

以下是执行有效Payload执行挖矿:

  1. Takeown.exe/f C:\Windows\Temp
  2. iCACLs.exeC:\Windows\Temp /Reset /T /C
  3. iCACLs.exeC:\Windows\Temp /Grant Everyone:F /T /C
  4. iCACLs.exeC:\Windows\Temp\lsass.exe /E /G Everyone:F /C
  5. NetSHFirewall Add AllowedProgram C:\Windows\Temp\lsass.exe “Windows Update”
  6. Start-Process–FilePath C:\Windows\Temp\lsass.exe –WindowStyle Hidden –PassThru

总结

如今,越来越多的网络犯罪分子开始借助加密货币挖矿病毒来赚钱,甚至有很多此前靠勒索软件谋生的人也加入到了恶意挖矿这个行列。

能够利用WMI对象实现“无文件”驻留,能够执行各种检查来杀死竞争对手, GhostMiner挖矿病毒必然会在今后很长的一段时间里继续深受网络犯罪分子的喜爱。

发表评论

后发表评论