[出自:jiwo.org]

最近，一个有意思的矿工程序出现在了卡巴斯基实验室的监控系统上。这种恶意软件被研究人员称为PowerGhost，它能够在一个系统中隐秘地创建自己，并在大型企业网络中传播，感染工作站和服务器。整合这种隐藏能力是矿工的典型特征：受感染的设备越多，它们被保留的时间就越长，攻击者的利润也就越大。因此，经常可以看到合法软件被矿工感染，而合法软件的流行有助于促进恶意软件的扩散。然而，PowerGhost的创建者更是领先一步，开始使用无文件技术在受害者系统中创建非法矿工。看来，加密货币的日益流行和价格增长已经使犯罪分子们相信，有必要投资于新的采矿技术——正如卡巴斯基实验室的数据所显示的那样，矿工正在逐步取代勒索木马。

技术说明和传播方法

PowerGhost是一个经混淆的PowerShell脚本，包含核心代码和以下附加模块：实际矿工、mimikatz、矿工操作所需的库msvcp120.dll和msvcr120.dll、用于反射PE注入的模块和用于EternalBlue漏洞利用的shellcode。

经混淆的脚本的片段

在base64中编码的附加模块

恶意程序使用了大量的无文件技术来保持自己不被用户和防病毒技术发现，并使用漏洞利用或远程管理工具（Windows管理工具）来远程感染受害者设备。在感染期间，运行一个单行的PowerShell脚本，下载矿工的主体并立即启动它，而不是将其写入硬盘驱动器。

之后脚本的作用可分为几个阶段：

• 自动自我更新。PowerGhost会检查C＆C上是否有新版本。如果有，它会下载新版本并启动，而不是启动原来的版本。

• 传播。在mimikatz的帮助下，矿工从当前设备获取用户帐户凭证，使用它们登录并尝试通过WMI启动自身的副本，尝试在本地网络中传播。另外，PowerGhost还会尝试使用臭名昭著的EternalBlue漏洞（MS17-010，CVE-2017-0144）在本地网络中传播。
• 特权升级。当矿工通过mimikatz和WMI进行传播时，它最终可能会出现在具有用户权限的新设备上。然后，它将尝试使用针对MS16-032、MS15-051和CVE-2018-8120的32位或64位的漏洞利用来升级其在系统中的权限。
• 在系统中建立立足点。PowerGhost将所有模块保存为WMI类的属性。矿工的主体以WMI订阅中的一个单行PowerShell脚本的形式保存，以每90分钟激活一次。

• 有效载荷。最后，该脚本通过反射PE注入加载PE文件来启动矿工。

在其中一个PowerGhost版本中，研究人员发现了一个用于进行DDoS攻击的工具。恶意软件作者显然决定通过提供DDoS服务来赚取一些额外的收入。

RunDDOS函数

值得指出的是，这是唯一一个将文件复制到硬盘驱动器的矿工函数。这很可能是一个用于测试的工具，随后将会被一个无文件实现所替换。做出这种推断的依据来源于DDoS模块启动的特殊方式：脚本会下载两个PE模块，logos.png和cohernece.txt。前者以java-log-9527.log的形式保存到硬盘驱动器中，是进行DDoS攻击的可执行文件。文件cohernece.txt受软件保护工具Themida的保护，并会在虚拟环境中检查执行情况。如果没有检测到沙箱，cohernece.txt将启动文件java-log-9527.log。通过这种奇怪的方式，已准备就绪的DDoS模块得到了一个补充函数，用于检查虚拟环境中的执行情况。

文件cohernece.txt的反汇编代码的片段

数据统计和地理分布

企业用户首当其冲受到攻击：PowerGhost更容易在一个公司的本地局域网中传播。

矿工感染的地理分布

PowerGhost主要出现在印度、巴西、哥伦比亚和土耳其。

卡巴斯基实验室的产品通过以下内容来检测矿工或其组件：

• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

在nanopool.org和minexmr.com上的电子钱包：

• 43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb
• 49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h1HkXaa1YJ7iz3AHtJNK5MD93z6tV9H

IoCs

C＆C主机名：

7h4uk[.]com

128.43.62

7h4uk[.]com

MD5：

AEEB46A88C9A37FA54CA2B64AE17F248

4FE2DE6FBB278E56C23E90432F21F6C8

71404815F6A0171A29DE46846E78A079

81E214A4120A4017809F5E7713B7EAC8

本文转自黑客视界，原文链接：https://www.hackeye.net/threatintelligence/15337.aspx