PowerGhost:集PowerShell和EternalBlue于一身的多功能挖矿工具

ang010ela Web安全 2018年8月3日发布

导语:近日,Kaspersky Lab研究人员发现一起恶意挖矿活动,使用的恶意软件名为PowerGhost。

PowerGhost可以在系统中悄悄的复制,并通过企业网络进行传播,不仅可以感染工作站还可以感染服务器。清理类软件感染挖矿机并不常见,然而合法软件的流行度进一步促进了恶意软件的传播。PowerGhost的作者使用无文件技术在受害者系统中建立非法挖矿机,因为加密货币的流行以及汇率的不断增长,数据显示加密货币挖矿或将取代勒索软件木马。

技术细节和传播方法

PowerGhost是混淆后的power shell脚本,脚本中含有核心代码以及其他组件,包括挖矿机、mimikatz、挖矿机运行所需的msvcp120.dll和msvcr120.dll、反射性PE注入模块、以及EternalBlue利用的shell code。

图片.png

混淆的脚本代码片段

图片.png

编码的添加模块

恶意程序使用无文件技术来确保不引起用户和反病毒技术的注意。恶意软件会利用漏洞和远程管理工具远程感染受害者设备。在感染过程中,会运行一个一行的power shell脚本,该脚本会下载挖矿机主体并在文件未写入硬盘前就加载。

之后脚本的执行可以分为以下几个阶段:

· 自动更新。PowerGhost会检查C2服务器上是否有新版本恶意软件,如果有就下载新版本并加载。

图片.png

· 传播。在mimikatz的帮助下,挖矿机可以从受害者设备上获取用户账户凭证,然后攻击者可以用凭证去登陆,并尝试通过WMI加载副本在本地网络上传播。PowerGhost还尝试通过EternalBlue exploit (MS17-010, CVE-2017-0144) 在本地网络上传播。

· 提权。挖矿机会通过mimikatz和WMI传播,最终会在有用户权限的新机器上停止,然后通过MS16-032, MS15-051和CVE-2018-8120的32/64位漏洞利用进行系统权限提升。

· 建立落脚点。PowerGhost会把所有模块保存为WMI的类,挖矿机的主体以银行power shell脚本的形式保存在WMI订阅中,每隔90分钟会执行1次。图片.png

· Payload。最后,脚本会通过反射型PE注入来加载PE文件来加载挖矿机。

在一个PowerGhost版本中,研究人员还检测到执行DDoS攻击的工具。恶意软件作者明显还想通过提供DDoS攻击服务来获利。

图片.png

名为RunDDOS的PowerShell函数

需要说明的是将文件复制到硬盘只是挖矿机的其中一个功能。这极有可能只是一个测试工具,未来会被无文件技术所替代。加入该功能的另一个原因可能是DDoS模块,脚本会下载两个PE模块,分别是logos.png和cohernece.txt。logos.png会保存为java-log-9527.log,也是执行DDoS攻击的可执行文件。cohernece.txt是用软件保护工具Themida保护的,主要目的是检查是否在虚拟环境中执行。如果没有检查到沙箱,cohernece.txt文件就会加载并执行java-log-9527.log。

图片.png

cohernece.txt文件中分解的代码段

统计数据和位置分布

PowerGhost可以很容易的在企业本地网络上传播,主要的传播区域在印度、巴西、哥伦比亚和土耳其。

图片.png

挖矿机的感染地图

IOC

C2:

update.7h4uk[.]com

185.128.43.62

info.7h4uk[.]com

MD5:

AEEB46A88C9A37FA54CA2B64AE17F248
4FE2DE6FBB278E56C23E90432F21F6C8
71404815F6A0171A29DE46846E78A079
81E214A4120A4017809F5E7713B7EAC8

本文翻译自:https://securelist.com/a-mining-multitool/86950/如若转载,请注明原文地址: http://www.4hou.com/web/12862.html
点赞 8
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论