PowerGhost：集PowerShell和EternalBlue於一身的多功能挖礦工具

新聞 08-03

PowerGhost可以在系統中悄悄的複製，並通過企業網路進行傳播，不僅可以感染工作站還可以感染伺服器。清理類軟體感染挖礦機並不常見，然而合法軟體的流行度進一步促進了惡意軟體的傳播。PowerGhost的作者使用無文件技術在受害者系統中建立非法挖礦機，因為加密貨幣的流行以及匯率的不斷增長，數據顯示加密貨幣挖礦或將取代勒索軟體木馬。

技術細節和傳播方法

PowerGhost是混淆後的power shell腳本，腳本中含有核心代碼以及其他組件，包括挖礦機、mimikatz、挖礦機運行所需的msvcp120.dll和msvcr120.dll、反射性PE注入模塊、以及EternalBlue利用的shell code。

混淆的腳本代碼片段

編碼的添加模塊

惡意程序使用無文件技術來確保不引起用戶和反病毒技術的注意。惡意軟體會利用漏洞和遠程管理工具遠程感染受害者設備。在感染過程中，會運行一個一行的power shell腳本，該腳本會下載挖礦機主體並在文件未寫入硬碟前就載入。

之後腳本的執行可以分為以下幾個階段：

·自動更新。PowerGhost會檢查C2伺服器上是否有新版本惡意軟體，如果有就下載新版本並載入。

·傳播。在mimikatz的幫助下，挖礦機可以從受害者設備上獲取用戶賬戶憑證，然後攻擊者可以用憑證去登陸，並嘗試通過WMI載入副本在本地網路上傳播。PowerGhost還嘗試通過EternalBlue exploit (MS17-010, CVE-2017-0144) 在本地網路上傳播。

·提權。挖礦機會通過mimikatz和WMI傳播，最終會在有用戶許可權的新機器上停止，然後通過MS16-032, MS15-051和CVE-2018-8120的32/64位漏洞利用進行系統許可權提升。

·Payload。最後，腳本會通過反射型PE注入來載入PE文件來載入挖礦機。

在一個PowerGhost版本中，研究人員還檢測到執行DDoS攻擊的工具。惡意軟體作者明顯還想通過提供DDoS攻擊服務來獲利。

名為RunDDOS的PowerShell函數

需要說明的是將文件複製到硬碟只是挖礦機的其中一個功能。這極有可能只是一個測試工具，未來會被無文件技術所替代。加入該功能的另一個原因可能是DDoS模塊，腳本會下載兩個PE模塊，分別是logos.png和cohernece.txt。logos.png會保存為java-log-9527.log，也是執行DDoS攻擊的可執行文件。cohernece.txt是用軟體保護工具Themida保護的，主要目的是檢查是否在虛擬環境中執行。如果沒有檢查到沙箱，cohernece.txt文件就會載入並執行java-log-9527.log。