无文件PowerGhost加密货币挖掘器利用EternalBlue漏洞进行传播

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

卡巴斯基实验室的安全专家发现了一个名为PowerGhost的新型加密货币矿工,它可以利用无文件感染技术进行传播。

无文件PowerGhost加密货币挖掘器利用EternalBlue漏洞进行传播

PowerGhost矿工瞄准大型企业网络,感染工作站和服务器,采用多种无文件技术来逃避检测。

“我们称之为PowerGhost的恶意软件能够在一个系统中秘密地建立自己,并在大型企业网络中传播,感染工作站和服务器。” 卡巴斯基发布的分析报告中写道。

“这种类型的隐藏整合是矿工的典型:受感染的机器越多,他们保持的时间越长,攻击者的利润就越大。因此,看到干净的软件被矿工感染的情况并不少见 ; 合法软件的普及有助于促进恶意软件的扩散。“

PowerGhost利用与NSA相关的EternalBlue漏洞进行传播,它是包含恶意软件核心代码的混淆PowerShell脚本,以及许多其他附加模块,如矿工,矿工库, Mimikatz后期开发,反射PE模块注入,以及EternalBlue漏洞的shellcode 。

受害者系统使用漏洞或远程管理工具(Windows Management Instrumentation)远程感染,专家发现在感染阶段,执行单行PowerShell脚本以删除矿工组件的核心并执行它,整个过程在系统的记忆。

恶意软件首先检查命令和控制(C&C)服务器,如果有新版本,它会下载并执行它。

然后,恶意软件使用Mimikatz工具从计算机获取用户帐户凭据,并使用它来尝试在目标网络内部进行横向移动。

“ 传播。在mimikatz 的帮助下,矿工从当前机器获取用户帐户凭证,使用它们登录并尝试通过WMI启动自身的副本来传播到本地网络。通过“自身的副本”这里和下面我们指的是从C&C下载矿工身体的单行脚本。“继续分析。

“ PowerGhost 还尝试使用现在臭名昭着的EternalBlue漏洞(CVE-2017-0144)在本地网络上传播。”

一旦感染了计算机,PowerGhost就会尝试使用各种攻击来升级权限,例如CVE-2018-8120。

为了在受感染的系统中建立立足点,PowerGhost将所有模块保存为WMI类的属性,而矿工主体在WMI订阅中保存为单行PowerShell脚本,每90分钟激活一次。

该脚本通过反射PE注入加载PE文件来执行矿工。

在印度,巴西,哥伦比亚和土耳其观察到大多数PowerGhost感染。

专家们还发现了一个实现DDoS功能的PowerGhost版本,这种情况导致卡巴斯基相信作者试图创建一个DDoS-for-hire服务。

CE安全网

发表评论

您必须登录才能发表评论!