GhostMiner:能幹掉競爭對手的「無文件」加密貨幣挖礦惡意軟體
「用指尖改變世界」
來自Minerva實驗室的安全研究人員發現了一種新型的加密貨幣挖礦惡意軟體,它使用PowerShell代碼來獲取無文件(fileless)執行能力,且能夠掃描並停止可能在同一台受感染設備上運行的其他礦工進程。
所謂「無文件惡意軟體」是指,攻擊者無需將攻擊工具保存到受感染設備的本地硬碟上,而是將攻擊代碼直接存儲在受感染設備的內存中,以達到攻擊的目的。攻擊者實現此目的的最常見方法是:
先將惡意軟體下載到受感染設備的本地硬碟,然後將其載入到內存中並從磁碟刪除文件;
將攻擊代碼直接注入到現有進程的內存中。
研究人員表示,儘管被稱為「GhostMiner」的無文件加密貨幣挖礦惡意軟體採用了所有這些先進的技術,但它並未能為其開發人員賺取到實質性的收入。
GhostMiner的挖礦活動可以說是「失敗」的。因為根據研究人員的描述,這場挖礦活動已經開展了約三周的時間,而目前僅賺取到了1.03枚門羅幣,價值約為200美元左右。
當然,GhostMiner的這種失敗指的是運營方面,而非技術方面。正如前面提到的哪樣,GhostMiner可能是第一個被檢測到的無文件加密貨幣挖礦惡意軟體。不僅如此,它還能幹掉自己的競爭對手——終於其他挖礦惡意軟體的進程。
GhostMiner組件的核心活動由編譯的惡意Windows可執行文件執行,這個可執行文件依賴於兩個PowerShell框架——Out-CompressedDll和Invoke-ReflectivePEInjection將挖礦程序(WMI.ps1)直接解壓縮到內存中,而不會被安全產品發現。
事實證明,這種逃避安全檢測的技術十分有效。在使用這種無文件技術時,WMI.ps1完全未被安全產品檢測到:
可一旦不使用這種無文件技術,WMI.ps1立馬就被41款安全產品檢測了出來:
此外,儘管在最近的活動中,GhostMiner只針對了運行Oracle WebLogic服務的伺服器。但研究人員表示,它還可以感染運行MSSQL和phpMyAdmin的伺服器。
在針對WebLogic伺服器的攻擊中,GhostMiner會通過隨機掃描IP地址,每秒鐘創建大量新的TCP連接,最終找到易受攻擊的目標設備。在確定目標設備之後,它會利用WebLogic WLS 組件漏洞CVE-2017-10271在目標設備上建立立足點,然後就是基於PowerShell框架的無文件技術的使用和挖礦程序的注入。
讓我們再來看看GhostMiner是如何幹掉它的競爭對手的。在GhostMiner的編碼中,有一份採用硬編碼的黑名單,無疑這裡面包含了GhostMiner開發人員所知曉的一些其他挖礦惡意軟體。一旦發現,GhostMiner便會使用PowerShell的「Stop-Process -force」命令來終止正在運行的挖礦進程。
本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
※近500萬台手機被曝預裝惡意軟體 榮耀、華為、小米等品牌均上榜
※航運巨頭馬士基集團旗下子公司近半員工個人信息遭泄露
TAG:黑客視界 |