GhostMiner：能幹掉競爭對手的「無文件」加密貨幣挖礦惡意軟體

「用指尖改變世界」

來自Minerva實驗室的安全研究人員發現了一種新型的加密貨幣挖礦惡意軟體，它使用PowerShell代碼來獲取無文件（fileless）執行能力，且能夠掃描並停止可能在同一台受感染設備上運行的其他礦工進程。

所謂「無文件惡意軟體」是指，攻擊者無需將攻擊工具保存到受感染設備的本地硬碟上，而是將攻擊代碼直接存儲在受感染設備的內存中，以達到攻擊的目的。攻擊者實現此目的的最常見方法是：

先將惡意軟體下載到受感染設備的本地硬碟，然後將其載入到內存中並從磁碟刪除文件；

將攻擊代碼直接注入到現有進程的內存中。

研究人員表示，儘管被稱為「GhostMiner」的無文件加密貨幣挖礦惡意軟體採用了所有這些先進的技術，但它並未能為其開發人員賺取到實質性的收入。

GhostMiner的挖礦活動可以說是「失敗」的。因為根據研究人員的描述，這場挖礦活動已經開展了約三周的時間，而目前僅賺取到了1.03枚門羅幣，價值約為200美元左右。

當然，GhostMiner的這種失敗指的是運營方面，而非技術方面。正如前面提到的哪樣，GhostMiner可能是第一個被檢測到的無文件加密貨幣挖礦惡意軟體。不僅如此，它還能幹掉自己的競爭對手——終於其他挖礦惡意軟體的進程。

GhostMiner組件的核心活動由編譯的惡意Windows可執行文件執行，這個可執行文件依賴於兩個PowerShell框架——Out-CompressedDll和Invoke-ReflectivePEInjection將挖礦程序（WMI.ps1）直接解壓縮到內存中，而不會被安全產品發現。

事實證明，這種逃避安全檢測的技術十分有效。在使用這種無文件技術時，WMI.ps1完全未被安全產品檢測到：

可一旦不使用這種無文件技術，WMI.ps1立馬就被41款安全產品檢測了出來：

此外，儘管在最近的活動中，GhostMiner只針對了運行Oracle WebLogic服務的伺服器。但研究人員表示，它還可以感染運行MSSQL和phpMyAdmin的伺服器。

在針對WebLogic伺服器的攻擊中，GhostMiner會通過隨機掃描IP地址，每秒鐘創建大量新的TCP連接，最終找到易受攻擊的目標設備。在確定目標設備之後，它會利用WebLogic WLS 組件漏洞CVE-2017-10271在目標設備上建立立足點，然後就是基於PowerShell框架的無文件技術的使用和挖礦程序的注入。

讓我們再來看看GhostMiner是如何幹掉它的競爭對手的。在GhostMiner的編碼中，有一份採用硬編碼的黑名單，無疑這裡面包含了GhostMiner開發人員所知曉的一些其他挖礦惡意軟體。一旦發現，GhostMiner便會使用PowerShell的「Stop-Process -force」命令來終止正在運行的挖礦進程。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！