十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
小编给大家分享一下PowerGhost是一款什么软件,希望大家阅读完这篇文章之后都有所收获,下面让我们一起去探讨吧!
创新互联凭借专业的设计团队扎实的技术支持、优质高效的服务意识和丰厚的资源优势,提供专业的网站策划、成都网站设计、成都网站制作、网站优化、软件开发、网站改版等服务,在成都十多年的网站建设设计经验,为成都近1000家中小型企业策划设计了网站。
近期,卡巴斯基实验室的检测雷达发现了一款非常有意思的恶意挖矿软件,该恶意软件名叫PowerGhost,它在感染了目标主机之后不仅可以悄悄在后台挖矿,而且还能够感染企业大型网络内的其他主机,包括工作站和服务器等等。
毫无疑问,对于攻击者来说,被感染的设备数量越多,驻留的时间越长,他们的利润也就越大。因此,我们经常会看到很多合法软件被挖矿软件感染,因为攻击者可以利用合法软件来传播自己的恶意软件。但需要注意的是,PowerGhost的开发者更有创新力,因为他们已经开始使用无文件技术来在目标系统中实现恶意挖矿软件感染了。由此看来,加密货币的流行以及价格的不断增长,已经开始让很多网络犯罪分子投身于恶意挖矿技术了。正如卡巴斯基实验室的调查数据一样,恶意挖矿软件正在逐步取代勒索软件的地位。
PowerGhost其实是一个经过了混淆处理的PowerShell脚本,其中包含的核心组件有:挖矿主程序、mimikatz、一个用于实现反射PE注入的模块、用于利用EternalBlue漏洞的ShellCode以及相关的依赖库(msvcp120.dll和msvcr120.dll)。下面给出的是部分代码片段:
采用Base64编码的插件模块代码:
这款恶意软件使用了各种无文件技术来隐藏自己的活动踪迹,并利用漏洞和远程管理工具(Windows管理工具)来远程感染目标设备。在实现感染的过程中,恶意软件会运行一个PowerShell脚本,下载了挖矿主程序之后,脚本会立即启动恶意软件,而不是直接将其存入主机的硬盘中。
自动更新:PowerGhost会定期检查C&C服务器是否有新版本,有则自动下载并实现更新,而不会启动之前的版本。
传播:在mimikatz的帮助下,恶意软件会收集受感染系统的用户凭证,然后完成登录并通过WMI在本地网络中传播恶意软件副本。除此之外,PowerGhost还会利用臭名昭著的EternalBlue漏洞(MS17-010, CVE-2017-0144)在本地网络中实现恶意软件传播。
提权:感染设备后,PowerGhost会利用漏洞MS16-032、MS15-051和CVE-2018-8120来在目标设备上实现提权。
持久化感染:PowerGhost会将所有模块存储为WMI类,挖矿主体会以PowerShell脚本的形式存储,每90分钟激活一次。
Payload:最后,该脚本会通过反射型PE注入来加载PE文件并启动挖矿程序。
在其中一个PowerGhost样本中,研究人员还发现了用于执行DDoS攻击的代码,显然PowerGhost的作者还想通过提供额外的DDoS攻击服务来赚取外快。
PowerGhost的主要攻击目标是企业用户,因为根据它的特性,公司的本地局域网更适合传播。
目前,感染了PowerGhost的用户主要分布在印度、巴西、哥伦比亚和土耳其等国家。
卡巴斯基实验室的产品的检测标识如下:
DM:Trojan.Win32.GenericPDM:Exploit.Win32.GenericHEUR:Trojan.Win32.Genericnot-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
nanopool.org和minexmr.com的电子钱包地址:
43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h2HkXaa1YJ7iz3AHtJNK5MD93z6tV9H
C&C主机名:
update.7h5uk[.]com185.128.43.62info.7h5uk[.]com
MD5:
AEEB46A88C9A37FA54CA2B64AE17F2484FE2DE6FBB278E56C23E90432F21F6C871404815F6A0171A29DE46846E78A07981E214A4120A4017809F5E7713B7EAC8
看完了这篇文章,相信你对“PowerGhost是一款什么软件”有了一定的了解,如果想了解更多相关知识,欢迎关注创新互联行业资讯频道,感谢各位的阅读!