紧盯企业系统,PowerGhost发起无文件式“挖矿”攻击
近日,一款名为PowerGhost的恶意程序席卷全球,专门针对企业的服务器和电脑发起攻击,亚信安全将其命名为TROJ_BLUTEAL.D、DDOS_NITOL.SMC和Coinminer_CryptoNight.SM-WIN64。由于PowerGhost属于无文件式虚拟加密货币挖矿恶意程序,该特性使其在全球商业网络中迅速蔓延。迄今为止,印度、巴西、哥伦比亚和土耳其等国家已成为重灾区。
据安全研究人员透露,PowerGhost会运用Powershell脚本执行工具和EternalBlue漏洞攻击来暗中将自己散布到企业网络上的电脑和服务器。此外,此恶意程序还能让黑客发动分布式拒绝服务(DDoS)攻击。
亚信安全详解:PowerGhost恶意程序
PowerGhost会使用正常的软件工具,例如WindowsManagement Instrumentation(WMI),并且利用加密编码的Powershell脚本来感染系统,脚本内含有挖矿程序的核心代码与模块。此脚本会下载挖矿程序“mimikatz”以及用来启动挖矿程序的程序库“msvcp120.dll”和“msvcr120.dll”,还有EternalBlue漏洞攻击代码(shellcode)以及一个Reflective PE注入模块。
Powershell脚本不会写入硬盘,执行时会链接不法分子的幕后操纵(C&C)服务器,以更新至最新版本。并且在这个过程中,该脚本会使用mimikatz来取得被感染系统的用户帐号相关信息,还会利用WMI和EternalBlue在局域网内不断传播自己,并且利用32和64位系统漏洞(MS16-032、MS15-051与CVE-2018-8120)来提升其在受害系统的用户权限。
PowerGhost将所有的模块都储存成一个WMI类别(class),每隔90分钟就会执行一个只有一行代码的Powershell脚本以维持运行,并且会利用Reflective PE注入手法来启动挖矿程序。此恶意程序还有一个变种内隐藏一个用来执行DDoS攻击的工具,它可侦测像沙盒模拟环境这类的虚拟环境。研究人员认为,不法分子之所以加入这个程序,应该是希望利用提供DDoS攻击服务来开拓额外收入来源。
亚信安全教你如何防范
定期更新软件和固件。对于还在使用一些老旧系统的企业,可采用虚拟修补的方式来保护系统。
必要时,可以管制使用WMI功能,并限制只开放给IT系统管理员使用。由于并非所有电脑都需要WMI服务,因此可减少WMI遭黑客利用的风险。
当然,亚信安全防毒墙网络版(OfficeScan)的行为监控策略也可以有效检测“无文件”恶意程序。
行业热点:
新型漏洞攻击套件“Underminer”闪现,近50万用户受影响
医疗安全防护防线屡遭攻破,亚信安全建议建立全面立体化网络安全能力
了解亚信安全,请点击“阅读原文”