安全专家发现了一个名为PowerGhost的新型加密货币矿工,它可以利用无文件感染技术进行传播。PowerGhost以企业为目标,利用永恒之蓝漏洞进行传播,一旦感染了计算机,PowerGhost就会尝试使用各种攻击来升级权限,例如CVE-2018-8120。在印度,巴西,哥伦比亚和土耳其观察到大多数PowerGhost感染。
为什么PowerGhost很危险?
与任何矿工一样,PowerGhost使用您的计算资源来生成加密货币。 这降低了服务器和其他设备的性能,并显着加速了磨损,从而导致更换成本。
但是,与大多数此类程序相比,PowerGhost更难以检测,因为它不会将恶意文件下载到设备。 这意味着它可以在您的服务器或工作站上不被注意地运行更长时间,并造成更多损害。
更重要的是,在一个版本的恶意软件中,我们的专家发现了一个DDoS攻击工具。 使用公司的服务器轰炸另一名受害者可能会减慢甚至瘫痪操作活动。 一个有趣的特性是恶意软件能够检查它是在真实操作系统下还是在沙箱中运行,从而允许它绕过标准安全解决方案。
PowerGhost利用EternalBlue传播
PowerGhost矿工瞄准大型企业网络,感染工作站和服务器,采用多种无文件技术来逃避检测。
“名为PowerGhost的恶意软件能够在一个系统中秘密地创建自己,并在大型企业网络中传播,感染工作站和服务器。这种类型的隐藏整合是矿工的典型:受感染的机器越多,他们保持的时间越长,攻击者的利润就越大。因此,看到其他软件被矿工感染的情况并不少见 ; 合法软件的普及有助于促进恶意软件的扩散。“
PowerGhost利用与NSA相关的EternalBlue漏洞进行传播,它是包含恶意软件核心代码的混合PowerShell脚本,以及许多其他附加模块,如矿工,矿工库, Mimikatz后期开发,反射PE模块注入,以及EternalBlue漏洞利用的shellcode 。
相关链接:
受害者系统使用漏洞或远程管理工具WMI(Windows Management Instrumentation)远程感染,专家发现在感染阶段,执行单行PowerShell脚本以删除矿工组件的核心并执行它,整个过程在系统的记忆。
恶意软件首先检查命令和控制(C&C)服务器,如果有新版本,它会下载并执行它。
然后,恶意软件使用Mimikatz工具从计算机获取用户帐户凭据,并使用它来尝试在目标网络内部进行横向移动。
“ 矿工从当前机器获取用户帐户凭证,使用它们登录并尝试通过WMI启动自身的副本来传播到本地网络。通过“自身的副本”和C&C下载矿工身体的单行脚本。PowerGhost 还尝试使用现在臭名昭着的EternalBlue漏洞(CVE-2017-0144)在本地网络上传播。”
PowerGhost通过执行脚本获取权限
一旦感染了计算机,PowerGhost就会尝试使用各种攻击来升级权限,例如CVE-2018-8120。
为了在受感染的系统中建立立足点,PowerGhost将所有模块保存为WMI类的属性,而矿工主体在WMI订阅中保存为单行PowerShell脚本,每90分钟激活一次。
该脚本通过反射PE注入加载PE文件来执行矿工。
在印度,巴西,哥伦比亚和土耳其观察到大多数PowerGhost感染。
专家们还发现了一个实现DDoS功能的PowerGhost版本,这种情况导致卡巴斯基相信作者试图创建一个DDoS-for-hire服务。
如何避免感染PowerGhost
为了避免感染并保护设备免受PowerGhost和类似恶意软件的攻击,您应该仔细监控企业网络的安全性。
- 不要跳过软件和操作系统更新。 矿工利用的所有漏洞长期以来都被供应商修补。 病毒编写者倾向于将其开发基于针对长修补漏洞的漏洞利用。
- 提升员工安全意识技能。 请记住,许多网络事件都是由人为因素引起的。
- 使用可靠的安全解决方案和行为分析技术 。
原文链接:https://securityaffairs.co/wordpress/74921/malware/powerghost-crypto-miner.html