PowerGhost新型加密軟件發起全球性攻擊 利用 永恒之藍 傳播
責編:gltian |2018-08-02 15:17:19安全專家發現了一個名為PowerGhost的新型加密貨幣礦工,它可以利用無文件感染技術進行傳播。PowerGhost以企業為目標,利用永恒之藍漏洞進行傳播,一旦感染了計算機,PowerGhost就會嘗試使用各種攻擊來升級權限,例如CVE-2018-8120。在印度,巴西,哥倫比亞和土耳其觀察到大多數PowerGhost感染。
為什么PowerGhost很危險?
與任何礦工一樣,PowerGhost使用您的計算資源來生成加密貨幣。 這降低了服務器和其他設備的性能,并顯著加速了磨損,從而導致更換成本。
但是,與大多數此類程序相比,PowerGhost更難以檢測,因為它不會將惡意文件下載到設備。 這意味著它可以在您的服務器或工作站上不被注意地運行更長時間,并造成更多損害。
更重要的是,在一個版本的惡意軟件中,我們的專家發現了一個DDoS攻擊工具。 使用公司的服務器轟炸另一名受害者可能會減慢甚至癱瘓操作活動。 一個有趣的特性是惡意軟件能夠檢查它是在真實操作系統下還是在沙箱中運行,從而允許它繞過標準安全解決方案。
PowerGhost利用EternalBlue傳播
PowerGhost礦工瞄準大型企業網絡,感染工作站和服務器,采用多種無文件技術來逃避檢測。
“名為PowerGhost的惡意軟件能夠在一個系統中秘密地創建自己,并在大型企業網絡中傳播,感染工作站和服務器。這種類型的隱藏整合是礦工的典型:受感染的機器越多,他們保持的時間越長,攻擊者的利潤就越大。因此,看到其他軟件被礦工感染的情況并不少見??;?合法軟件的普及有助于促進惡意軟件的擴散。“
PowerGhost利用與NSA相關的EternalBlue漏洞進行傳播,它是包含惡意軟件核心代碼的混合PowerShell腳本,以及許多其他附加模塊,如礦工,礦工庫,??Mimikatz后期開發,反射PE模塊注入,以及EternalBlue漏洞利用的shellcode?。
相關鏈接:
受害者系統使用漏洞或遠程管理工具WMI(Windows Management Instrumentation)遠程感染,專家發現在感染階段,執行單行PowerShell腳本以刪除礦工組件的核心并執行它,整個過程在系統的記憶。
惡意軟件首先檢查命令和控制(C&C)服務器,如果有新版本,它會下載并執行它。
然后,惡意軟件使用Mimikatz工具從計算機獲取用戶帳戶憑據,并使用它來嘗試在目標網絡內部進行橫向移動。
“ 礦工從當前機器獲取用戶帳戶憑證,使用它們登錄并嘗試通過WMI啟動自身的副本來傳播到本地網絡。通過“自身的副本”和C&C下載礦工身體的單行腳本。PowerGhost?還嘗試使用現在臭名昭著的EternalBlue漏洞(CVE-2017-0144)在本地網絡上傳播。”
PowerGhost通過執行腳本獲取權限
一旦感染了計算機,PowerGhost就會嘗試使用各種攻擊來升級權限,例如CVE-2018-8120。
為了在受感染的系統中建立立足點,PowerGhost將所有模塊保存為WMI類的屬性,而礦工主體在WMI訂閱中保存為單行PowerShell腳本,每90分鐘激活一次。
該腳本通過反射PE注入加載PE文件來執行礦工。
在印度,巴西,哥倫比亞和土耳其觀察到大多數PowerGhost感染。
專家們還發現了一個實現DDoS功能的PowerGhost版本,這種情況導致卡巴斯基相信作者試圖創建一個DDoS-for-hire服務。
如何避免感染PowerGhost
為了避免感染并保護設備免受PowerGhost和類似惡意軟件的攻擊,您應該仔細監控企業網絡的安全性。
- 不要跳過軟件和操作系統更新。 礦工利用的所有漏洞長期以來都被供應商修補。 病毒編寫者傾向于將其開發基于針對長修補漏洞的漏洞利用。
- 提升員工安全意識技能。 請記住,許多網絡事件都是由人為因素引起的。
- 使用可靠的安全解決方案和行為分析技術 。
原文鏈接:https://securityaffairs.co/wordpress/74921/malware/powerghost-crypto-miner.html