高危预警:无文件挖矿恶意软件GhostMiner-ghost文件

高危预警:无文件挖矿恶意软件GhostMiner

最新研究指出,自加密货币价格在 2017 年出现暴涨以来,越来越多的犯罪分子将他们的注意力转向了加密数字货币,从而催生了许多的恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利。

高危预警:无文件挖矿恶意软件GhostMiner

来自Minerva实验室的安全研究人员最近就发现了这样一款被称为“GhostMiner”新型加密货币挖矿恶意软件,该恶意软件采用了其他恶意软件家族所使用的最有效的技术,包括无文件(fileless)感染攻击。

所谓“文件攻击(fileless attack)”,其本质思想即攻击者希望恶意软件尽可能保持隐身来减少它们被检测到的概率,所以就要对受感染系统进行最少次数的干扰,以及在系统中留下最少的痕迹。恶意软件保持不被发现的时间越长,它们就越有可能实现其攻击目标。

因此,无文件恶意软件就要删除它在受感染系统磁盘中保存的所有文件,在注册表中保存加密数据,注入代码到正在运行的进程,并使用PowerShell、Windows Management Instrumentation和其他技术使其难以被检测到。

据悉,该新型挖矿软件主要针对Monero加密货币,它使用了PowerShell规避框架——Out-CompressedDll和Invoke-ReflectivePEInjection,通过无文件技术来隐藏其恶意代码。

该恶意软件的每个组件都被设计用于不同的目的:一个PowerShell脚本用于确保将恶意软件传播到新机器,另一个用于执行实际的挖矿操作。

Minerva Labs的两名研究人员Asaf Aprozper和Gal Bitensky透露称:“这种规避方法在绕过许多安全工具方面效果非常显著:我们分析的部分该恶意软件的有效载荷完全未被所有安全厂商发现。”

安全研究人员对比了使用和不适用无文件方法的恶意可执行文件的检测结果,并发现一旦无文件模块被移除,大多数VirusTotal供应商都能够成功地检测出这些有效载荷。

研究人员分析后发现,负责感染新设备的PowerShell脚本主要针对运行Oracle WebLogic(利用CVE-2017-10271漏洞)、MSSQL和phpMyAdmin的服务器。

不过,研究人员也表示,此次攻击只是试图利用了WebLogic服务器。在针对WebLogic服务器的攻击中,GhostMiner恶意代码会通过随机扫描IP地址,每秒创建大量新的TCP连接,试图找到易受攻击的目标设备。

通过基于Base64编码的请求和回复,就可以执行与命令和控制(C&C)服务器的通信。该恶意软件用来交换消息的协议涉及一个简单的握手,然后是执行各种任务的请求。一旦任务完成,一个新的请求就会被发送到服务器。

该挖矿组件是开源XMRig矿工(高性能的门罗币CPU矿工)的轻量定制版本,能够从内存中直接启动。

Minerva Labs研究人员表示,在我们发现该恶意软件之时,其挖矿活动已经运行了大约3个星期,但是根据追踪到的加密货币钱包发现,攻击者到目前为止只获取了1.03个Monero(约合200美元)。也许,攻击者还在使用研究人员尚未发现的加密货币钱包地址来获取收益。

GhostMiner挖矿活动收益较低的另一个潜在原因是采矿活动的竞争过于激烈。潜在的受害者数量确实很多,但是他们使用的攻击和技术都是公开的,攻击者意识到他们的竞争对手共享相同的工具集,并尝试感染相同的易受攻击的目标设备。

研究人员表示,被分析的恶意软件样本中还包含各种技术,可以结束目标设备上运行的任何其它恶意挖矿进程。在GhostMiner的编码中,有一份采用硬编码的黑名单,通过exe文件格式将GhostMiner开发人员所知晓的一些其他挖矿恶意软件列入黑名单中,然后通过使用PowerShell的“Stop-Process -force”命令行参数来终止和删除在目标设备上运行的其他挖矿程序。

最后,Minerva Labs安全研究人员建议称,防御者可以使用与这些“竞争对手杀手”类似的方法来防止恶意挖矿程序在终端上运行。他们甚至提供了一个杀手脚本,可以为此目的进行修改。

推荐阅读