来自Minerva实验室的安全研究人员发现了一种新型的加密货币挖矿恶意软件,它使用PowerShell代码来获取无文件(fileless)执行能力,且能够扫描并停止可能在同一台受感染设备上运行的其他矿工进程。
所谓“无文件恶意软件”是指,攻击者无需将攻击工具保存到受感染设备的本地硬盘上,而是将攻击代码直接存储在受感染设备的内存中,以达到攻击的目的。攻击者实现此目的的最常见方法是:
- 先将恶意软件下载到受感染设备的本地硬盘,然后将其加载到内存中并从磁盘删除文件;
- 将攻击代码直接注入到现有进程的内存中。
研究人员表示,尽管被称为“GhostMiner”的无文件加密货币挖矿恶意软件采用了所有这些先进的技术,但它并未能为其开发人员赚取到实质性的收入。
GhostMiner的挖矿活动可以说是“失败”的。因为根据研究人员的描述,这场挖矿活动已经开展了约三周的时间,而目前仅赚取到了1.03枚门罗币,价值约为200美元左右。
当然,GhostMiner的这种失败指的是运营方面,而非技术方面。正如前面提到的哪样,GhostMiner可能是第一个被检测到的无文件加密货币挖矿恶意软件。不仅如此,它还能干掉自己的竞争对手——终于其他挖矿恶意软件的进程。
GhostMiner组件的核心活动由编译的恶意Windows可执行文件执行,这个可执行文件依赖于两个PowerShell框架——Out-CompressedDll和Invoke-ReflectivePEInjection将挖矿程序(WMI.ps1)直接解压缩到内存中,而不会被安全产品发现。
事实证明,这种逃避安全检测的技术十分有效。在使用这种无文件技术时,WMI.ps1完全未被安全产品检测到:
可一旦不使用这种无文件技术,WMI.ps1立马就被41款安全产品检测了出来:
此外,尽管在最近的活动中,GhostMiner只针对了运行Oracle WebLogic服务的服务器。但研究人员表示,它还可以感染运行MSSQL和phpMyAdmin的服务器。
在针对WebLogic服务器的攻击中,GhostMiner会通过随机扫描IP地址,每秒钟创建大量新的TCP连接,最终找到易受攻击的目标设备。在确定目标设备之后,它会利用WebLogic WLS 组件漏洞CVE-2017-10271在目标设备上建立立足点,然后就是基于PowerShell框架的无文件技术的使用和挖矿程序的注入。
让我们再来看看GhostMiner是如何干掉它的竞争对手的。在GhostMiner的编码中,有一份采用硬编码的黑名单,无疑这里面包含了GhostMiner开发人员所知晓的一些其他挖矿恶意软件。一旦发现,GhostMiner便会使用PowerShell的“Stop-Process -force”命令来终止正在运行的挖矿进程。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。