ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → 无文件PowerGhost加密货币挖掘器利用EternalBlue漏洞进行传播

无文件PowerGhost加密货币挖掘器利用EternalBlue漏洞进行传播

时间:2018-08-02 00:00:00人气:作者:本站作者我要评论

卡巴斯基实验室的安全专家发现了一个名为PowerGhost的新型加密货币矿工,它可以利用无文件感染技术进行传播。

无文件PowerGhost加密货币挖掘器利用EternalBlue漏洞进行传播

PowerGhost矿工瞄准大型企业网络,感染工作站和服务器,采用多种无文件技术来逃避检测。

“我们称之为PowerGhost的恶意软件能够在一个系统中秘密地建立自己,并在大型企业网络中传播,感染工作站和服务器。” 卡巴斯基发布的分析报告中写道。

“这种类型的隐藏整合是矿工的典型:受感染的机器越多,他们保持的时间越长,攻击者的利润就越大。因此,看到干净的软件被矿工感染的情况并不少见 ; 合法软件的普及有助于促进恶意软件的扩散。“

PowerGhost利用与NSA相关的EternalBlue漏洞进行传播,它是包含恶意软件核心代码的混淆PowerShell脚本,以及许多其他附加模块,如矿工,矿工库, Mimikatz后期开发,反射PE模块注入,以及EternalBlue漏洞的shellcode 。

受害者系统使用漏洞或远程管理工具(Windows Management Instrumentation)远程感染,专家发现在感染阶段,执行单行PowerShell脚本以删除矿工组件的核心并执行它,整个过程在系统的记忆。

恶意软件首先检查命令和控制(C&C)服务器,如果有新版本,它会下载并执行它。

然后,恶意软件使用Mimikatz工具从计算机获取用户帐户凭据,并使用它来尝试在目标网络内部进行横向移动。

“ 传播。在mimikatz 的帮助下,矿工从当前机器获取用户帐户凭证,使用它们登录并尝试通过WMI启动自身的副本来传播到本地网络。通过“自身的副本”这里和下面我们指的是从C&C下载矿工身体的单行脚本。“继续分析。

“ PowerGhost 还尝试使用现在臭名昭着的EternalBlue漏洞(CVE-2017-0144)在本地网络上传播。”

一旦感染了计算机,PowerGhost就会尝试使用各种攻击来升级权限,例如CVE-2018-8120。

为了在受感染的系统中建立立足点,PowerGhost将所有模块保存为WMI类的属性,而矿工主体在WMI订阅中保存为单行PowerShell脚本,每90分钟激活一次。

该脚本通过反射PE注入加载PE文件来执行矿工。

在印度,巴西,哥伦比亚和土耳其观察到大多数PowerGhost感染。

专家们还发现了一个实现DDoS功能的PowerGhost版本,这种情况导致卡巴斯基相信作者试图创建一个DDoS-for-hire服务。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网