曲速未來披露:一個集EternalBlue和PowerShell一身的多功能礦工區塊鏈
近日,曲速未來實驗室報導經研究人員發現一起惡意挖礦活動,使用的惡意軟件名為PowerGhost。
PowerGhost密碼挖掘機能夠在受感染的系統上保持未被發現,并且可以通過利用無文件感染技術自行傳播。
該礦工的目標是工作站和服務器,它允許它分布在大型企業網絡中。卡巴斯基發現,威脅利用與國家安全局相關的EternalBlue漏洞進行傳播
新的威脅再一次證明,加密貨幣的日益普及和速度已經確定網絡犯罪分子采用巧妙的采礦技術,并逐漸將勒索軟件特洛伊木馬作為支持加密礦工的惡意軟件。
PowerGhost是一個經混淆的PowerShell腳本,不僅包含惡意軟件的核心代碼,還包含一系列附加模塊,如礦工所需的礦工和庫的操作、Mimikatz、用于反射PE注入的模塊,以及用于EternalBlue漏洞利用的shellcode。
混淆的腳本代碼片段
編碼的添加模塊
還被指出,通過采用多種無文件技術,惡意軟件對用戶來說仍然不明顯,并且未被防病毒技術檢測到。
惡意程序使用了大量的無文件技術來保持自己不被用戶和防病毒技術發現,并在通過漏洞利用程序或遠程管理工具(Windows Management Instrumentation)執行的感染期間,執行單行PowerShell腳本以放下礦工的主體并立即啟動它,而不是將其寫入硬盤驅動器。
之后,腳本(PowerGhost本身)檢查命令和控制(CaC)服務器,如果有新版本可用,它將獲取并運行它。而不是啟動原來的版本。
Mimikatz用于從計算機獲取用戶帳戶憑據。然后,惡意軟件使用它們登錄并嘗試通過WMI啟動初始腳本的副本,在本地網絡上傳播。威脅也試圖利用EternalBlue漏洞(CVE-2017-0144)進行傳播。
在系統中建立立足點。PowerGhost將所有模塊保存為WMI類的屬性。礦工的主體以WMI訂閱中的一個單行PowerShell腳本的形式保存,以每90分鐘激活一次。
有效載荷。最后,該腳本通過反射PE注入加載PE文件來啟動礦工。
一個PowerGhost版本還包括啟動分布式拒絕服務(DDoS)攻擊的能力,可能是因為惡意軟件作者試圖通過提供DDoS服務來賺取額外收入。
名為RunDDOS的PowerShell函數
值得指出的是,這個DDoS功能是唯一一個將文件復制到硬盤驅動器的礦工函數,而這個功能被認為它將在未來版本的惡意軟件中被替換為無文件實現。研究人員認為DDoS功能被添加到惡意軟件中,因為它以一種特殊的方式啟動,其中DDoS模塊和啟動它的功能被下載并單獨保存到磁盤。文件cohernece.txt受軟件保護工具Themida的保護,并會在虛擬環境中檢查執行情況。如果沒有檢測到沙箱,cohernece.txt將啟動文件java-log-9527.log。通過這種奇怪的方式,已準備就緒的DDoS模塊得到了一個補充函數,用于檢查虛擬環境中的執行情況。
cohernece.txt文件中分解的代碼段
到目前為止,PowerGhost主要是在企業局域網中觀察到的。主要在印度,巴西,哥倫比亞和土耳其遇到。
挖礦機的感染地圖
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
