PowerGhost是一款什么软件

小编给大家分享一下PowerGhost是一款什么软件,希望大家阅读完这篇文章之后都有所收获,下面让我们一起去探讨吧!

近期,卡巴斯基实验室的检测雷达发现了一款非常有意思的恶意挖矿软件,该恶意软件名叫PowerGhost,它在感染了目标主机之后不仅可以悄悄在后台挖矿,而且还能够感染企业大型网络内的其他主机,包括工作站和服务器等等。

毫无疑问,对于攻击者来说,被感染的设备数量越多,驻留的时间越长,他们的利润也就越大。因此,我们经常会看到很多合法软件被挖矿软件感染,因为攻击者可以利用合法软件来传播自己的恶意软件。但需要注意的是,PowerGhost的开发者更有创新力,因为他们已经开始使用无文件技术来在目标系统中实现恶意挖矿软件感染了。由此看来,加密货币的流行以及价格的不断增长,已经开始让很多网络犯罪分子投身于恶意挖矿技术了。正如卡巴斯基实验室的调查数据一样,恶意挖矿软件正在逐步取代勒索软件的地位。

技术分析及传播途径

PowerGhost其实是一个经过了混淆处理的PowerShell脚本,其中包含的核心组件有:挖矿主程序、mimikatz、一个用于实现反射PE注入的模块、用于利用EternalBlue漏洞的ShellCode以及相关的依赖库(msvcp120.dll和msvcr120.dll)。下面给出的是部分代码片段:

PowerGhost是一款什么软件

采用Base64编码的插件模块代码:

PowerGhost是一款什么软件

这款恶意软件使用了各种无文件技术来隐藏自己的活动踪迹,并利用漏洞和远程管理工具(Windows管理工具)来远程感染目标设备。在实现感染的过程中,恶意软件会运行一个PowerShell脚本,下载了挖矿主程序之后,脚本会立即启动恶意软件,而不是直接将其存入主机的硬盘中。

恶意脚本的运行分为以下几个阶段:

自动更新:PowerGhost会定期检查C&C服务器是否有新版本,有则自动下载并实现更新,而不会启动之前的版本。

PowerGhost是一款什么软件

传播:在mimikatz的帮助下,恶意软件会收集受感染系统的用户凭证,然后完成登录并通过WMI在本地网络中传播恶意软件副本。除此之外,PowerGhost还会利用臭名昭著的EternalBlue漏洞(MS17-010, CVE-2017-0144)在本地网络中实现恶意软件传播。

提权:感染设备后,PowerGhost会利用漏洞MS16-032、MS15-051和CVE-2018-8120来在目标设备上实现提权。

持久化感染:PowerGhost会将所有模块存储为WMI类,挖矿主体会以PowerShell脚本的形式存储,每90分钟激活一次。

PowerGhost是一款什么软件

Payload:最后,该脚本会通过反射型PE注入来加载PE文件并启动挖矿程序。

在其中一个PowerGhost样本中,研究人员还发现了用于执行DDoS攻击的代码,显然PowerGhost的作者还想通过提供额外的DDoS攻击服务来赚取外快。

PowerGhost是一款什么软件

统计与地理分布

PowerGhost的主要攻击目标是企业用户,因为根据它的特性,公司的本地局域网更适合传播。

PowerGhost是一款什么软件

目前,感染了PowerGhost的用户主要分布在印度、巴西、哥伦比亚和土耳其等国家。

卡巴斯基实验室的产品的检测标识如下:

DM:Trojan.Win32.GenericPDM:Exploit.Win32.GenericHEUR:Trojan.Win32.Genericnot-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

nanopool.org和minexmr.com的电子钱包地址:

43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h2HkXaa1YJ7iz3AHtJNK5MD93z6tV9H

入侵威胁指标

C&C主机名:

update.7h5uk[.]com185.128.43.62info.7h5uk[.]com

MD5:

AEEB46A88C9A37FA54CA2B64AE17F2484FE2DE6FBB278E56C23E90432F21F6C871404815F6A0171A29DE46846E78A07981E214A4120A4017809F5E7713B7EAC8

看完了这篇文章,相信你对“PowerGhost是一款什么软件”有了一定的了解,如果想了解更多相关知识,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

原创文章,作者:3628473679,如若转载,请注明出处:https://blog.ytso.com/221694.html

(0)
上一篇 2022年1月4日
下一篇 2022年1月4日

相关推荐

发表回复

登录后才能评论