高危预警：无文件挖矿恶意软件GhostMiner

近日，Minerva实验室的安全研究人员发现了一款被称为“GhostMiner”的新型加密货币挖矿恶意软件，该恶意软件采用了无文件（fileless）感染攻击技术。所谓“无文件攻击（fileless attack）”，其本质思想即攻击者希望恶意软件尽可能保持隐身来减少它们被检测到的概率，所以就要对受感染系统进行最少次数的干扰，以及在系统中留下最少的痕迹。恶意软件保持不被发现的时间越长，它们就越有可能实现其攻击目标。

因此，无文件恶意软件就要删除它在受感染系统磁盘中保存的所有文件，在注册表中保存加密数据，注入代码到正在运行的进程，并使用PowerShell、Windows Management Instrumentation和其他技术使其难以被检测到。

据悉，该新型挖矿软件主要针对Monero加密货币，它使用了PowerShell evasion框架——Out-CompressedDll和Invoke-ReflectivePEInjection，通过无文件技术来隐藏其恶意代码。

该恶意软件的每个组件都被设计用于不同的目的：一个PowerShell脚本用于确保将恶意软件传播到新机器，另一个用于执行实际的挖矿操作。

MinervaLabs的两名研究人员Asaf Aprozper和Gal Bitensky透露称：“这种规避方法在绕过许多安全工具方面效果非常显著：我们分析的部分该恶意软件的有效载荷完全未被所有安全厂商发现。”

未检测到恶意软件

安全研究人员对比了使用和不适用无文件方法的恶意可执行文件的检测结果，并发现一旦无文件模块被移除，大多数VirusTotal供应商都能够成功地检测出这些有效载荷。

无文件模块被移除后，成功检测出恶意软件

以Oracle WebLogic服务器为目标

GhostMiner可以感染运行MSSQL、phpMyAdmin和Oracle WebLogic服务器的系统。但据Minerva Labs的专家称，在分析最近的活动时，只有WebLogic感染系统是活跃的。

研究人员称，GhostMiner会为WebLogic服务器扫描随机IP，使用CVE-2017-10271漏洞在新的受害者系统上获得立足点，并运行两个PowerShell脚本启动无文件操作模式，由此下载coinming组件和实现自我保护机制的模块。

研究人员表示，被分析的恶意软件样本中还包含各种技术，可以结束目标设备上运行的任何其它恶意挖矿进程。在GhostMiner的编码中，有一份采用硬编码的黑名单，通过exe文件格式将GhostMiner开发人员所知晓的一些其他挖矿恶意软件列入黑名单中，然后通过使用PowerShell的“Stop-Process -force”命令行参数来终止和删除在目标设备上运行的其他挖矿程序。

最后，Minerva Labs安全研究人员建议，防御者可以使用与这些“competitor killers”类似的方法来防止恶意挖矿程序在终端上运行，相关脚本链接：

https://github.com/MinervaLabsResearch/BlogPosts/tree/master/MinerKiller

来源：CSPEC立体防护

【关闭】 【打印】