曲速未來披露:一個(gè)集EternalBlue和PowerShell一身的多功能礦工區(qū)塊鏈
近日,曲速未來實(shí)驗(yàn)室報(bào)導(dǎo)經(jīng)研究人員發(fā)現(xiàn)一起惡意挖礦活動(dòng),使用的惡意軟件名為PowerGhost。
PowerGhost密碼挖掘機(jī)能夠在受感染的系統(tǒng)上保持未被發(fā)現(xiàn),并且可以通過利用無文件感染技術(shù)自行傳播。
該礦工的目標(biāo)是工作站和服務(wù)器,它允許它分布在大型企業(yè)網(wǎng)絡(luò)中。卡巴斯基發(fā)現(xiàn),威脅利用與國(guó)家安全局相關(guān)的EternalBlue漏洞進(jìn)行傳播
新的威脅再一次證明,加密貨幣的日益普及和速度已經(jīng)確定網(wǎng)絡(luò)犯罪分子采用巧妙的采礦技術(shù),并逐漸將勒索軟件特洛伊木馬作為支持加密礦工的惡意軟件。
PowerGhost是一個(gè)經(jīng)混淆的PowerShell腳本,不僅包含惡意軟件的核心代碼,還包含一系列附加模塊,如礦工所需的礦工和庫的操作、Mimikatz、用于反射PE注入的模塊,以及用于EternalBlue漏洞利用的shellcode。
混淆的腳本代碼片段
編碼的添加模塊
還被指出,通過采用多種無文件技術(shù),惡意軟件對(duì)用戶來說仍然不明顯,并且未被防病毒技術(shù)檢測(cè)到。
惡意程序使用了大量的無文件技術(shù)來保持自己不被用戶和防病毒技術(shù)發(fā)現(xiàn),并在通過漏洞利用程序或遠(yuǎn)程管理工具(Windows Management Instrumentation)執(zhí)行的感染期間,執(zhí)行單行PowerShell腳本以放下礦工的主體并立即啟動(dòng)它,而不是將其寫入硬盤驅(qū)動(dòng)器。
之后,腳本(PowerGhost本身)檢查命令和控制(CaC)服務(wù)器,如果有新版本可用,它將獲取并運(yùn)行它。而不是啟動(dòng)原來的版本。
Mimikatz用于從計(jì)算機(jī)獲取用戶帳戶憑據(jù)。然后,惡意軟件使用它們登錄并嘗試通過WMI啟動(dòng)初始腳本的副本,在本地網(wǎng)絡(luò)上傳播。威脅也試圖利用EternalBlue漏洞(CVE-2017-0144)進(jìn)行傳播。
在系統(tǒng)中建立立足點(diǎn)。PowerGhost將所有模塊保存為WMI類的屬性。礦工的主體以WMI訂閱中的一個(gè)單行PowerShell腳本的形式保存,以每90分鐘激活一次。
有效載荷。最后,該腳本通過反射PE注入加載PE文件來啟動(dòng)礦工。
一個(gè)PowerGhost版本還包括啟動(dòng)分布式拒絕服務(wù)(DDoS)攻擊的能力,可能是因?yàn)閻阂廛浖髡咴噲D通過提供DDoS服務(wù)來賺取額外收入。
名為RunDDOS的PowerShell函數(shù)
值得指出的是,這個(gè)DDoS功能是唯一一個(gè)將文件復(fù)制到硬盤驅(qū)動(dòng)器的礦工函數(shù),而這個(gè)功能被認(rèn)為它將在未來版本的惡意軟件中被替換為無文件實(shí)現(xiàn)。研究人員認(rèn)為DDoS功能被添加到惡意軟件中,因?yàn)樗砸环N特殊的方式啟動(dòng),其中DDoS模塊和啟動(dòng)它的功能被下載并單獨(dú)保存到磁盤。文件cohernece.txt受軟件保護(hù)工具Themida的保護(hù),并會(huì)在虛擬環(huán)境中檢查執(zhí)行情況。如果沒有檢測(cè)到沙箱,cohernece.txt將啟動(dòng)文件java-log-9527.log。通過這種奇怪的方式,已準(zhǔn)備就緒的DDoS模塊得到了一個(gè)補(bǔ)充函數(shù),用于檢查虛擬環(huán)境中的執(zhí)行情況。
cohernece.txt文件中分解的代碼段
到目前為止,PowerGhost主要是在企業(yè)局域網(wǎng)中觀察到的。主要在印度,巴西,哥倫比亞和土耳其遇到。
挖礦機(jī)的感染地圖
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
