无文件PowerGhost加密货币挖掘器利用EternalBlue漏洞进行传播

卡巴斯基实验室的安全专家发现了一个名为PowerGhost的新型加密货币矿工，它可以利用无文件感染技术进行传播。

PowerGhost矿工瞄准大型企业网络，感染工作站和服务器，采用多种无文件技术来逃避检测。

“我们称之为PowerGhost的恶意软件能够在一个系统中秘密地建立自己，并在大型企业网络中传播，感染工作站和服务器。” 卡巴斯基发布的分析报告中写道。

“这种类型的隐藏整合是矿工的典型：受感染的机器越多，他们保持的时间越长，攻击者的利润就越大。因此，看到干净的软件被矿工感染的情况并不少见 ; 合法软件的普及有助于促进恶意软件的扩散。“

PowerGhost利用与NSA相关的EternalBlue漏洞进行传播，它是包含恶意软件核心代码的混淆PowerShell脚本，以及许多其他附加模块，如矿工，矿工库， Mimikatz后期开发，反射PE模块注入，以及EternalBlue漏洞的shellcode 。

受害者系统使用漏洞或远程管理工具（Windows Management Instrumentation）远程感染，专家发现在感染阶段，执行单行PowerShell脚本以删除矿工组件的核心并执行它，整个过程在系统的记忆。

恶意软件首先检查命令和控制（C＆C）服务器，如果有新版本，它会下载并执行它。

然后，恶意软件使用Mimikatz工具从计算机获取用户帐户凭据，并使用它来尝试在目标网络内部进行横向移动。

“ 传播。在mimikatz 的帮助下，矿工从当前机器获取用户帐户凭证，使用它们登录并尝试通过WMI启动自身的副本来传播到本地网络。通过“自身的副本”这里和下面我们指的是从C＆C下载矿工身体的单行脚本。“继续分析。

“ PowerGhost 还尝试使用现在臭名昭着的EternalBlue漏洞（CVE-2017-0144）在本地网络上传播。”

一旦感染了计算机，PowerGhost就会尝试使用各种攻击来升级权限，例如CVE-2018-8120。

为了在受感染的系统中建立立足点，PowerGhost将所有模块保存为WMI类的属性，而矿工主体在WMI订阅中保存为单行PowerShell脚本，每90分钟激活一次。

该脚本通过反射PE注入加载PE文件来执行矿工。

在印度，巴西，哥伦比亚和土耳其观察到大多数PowerGhost感染。

专家们还发现了一个实现DDoS功能的PowerGhost版本，这种情况导致卡巴斯基相信作者试图创建一个DDoS-for-hire服务。