PowerGhost是一款什么軟件

小編給大家分享一下PowerGhost是一款什么軟件，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

近期，卡巴斯基實(shí)驗(yàn)室的檢測雷達(dá)發(fā)現(xiàn)了一款非常有意思的惡意挖礦軟件，該惡意軟件名叫PowerGhost，它在感染了目標(biāo)主機(jī)之后不僅可以悄悄在后臺挖礦，而且還能夠感染企業(yè)大型網(wǎng)絡(luò)內(nèi)的其他主機(jī)，包括工作站和服務(wù)器等等。

毫無疑問，對于攻擊者來說，被感染的設(shè)備數(shù)量越多，駐留的時間越長，他們的利潤也就越大。因此，我們經(jīng)常會看到很多合法軟件被挖礦軟件感染，因?yàn)楣粽呖梢岳煤戏ㄜ浖韨鞑プ约旱膼阂廛浖５枰⒁獾氖?，PowerGhost的開發(fā)者更有創(chuàng)新力，因?yàn)樗麄円呀?jīng)開始使用無文件技術(shù)來在目標(biāo)系統(tǒng)中實(shí)現(xiàn)惡意挖礦軟件感染了。由此看來，加密貨幣的流行以及價格的不斷增長，已經(jīng)開始讓很多網(wǎng)絡(luò)犯罪分子投身于惡意挖礦技術(shù)了。正如卡巴斯基實(shí)驗(yàn)室的調(diào)查數(shù)據(jù)一樣，惡意挖礦軟件正在逐步取代勒索軟件的地位。

技術(shù)分析及傳播途徑

PowerGhost其實(shí)是一個經(jīng)過了混淆處理的PowerShell腳本，其中包含的核心組件有：挖礦主程序、mimikatz、一個用于實(shí)現(xiàn)反射PE注入的模塊、用于利用EternalBlue漏洞的ShellCode以及相關(guān)的依賴庫（msvcp120.dll和msvcr120.dll）。下面給出的是部分代碼片段：

采用Base64編碼的插件模塊代碼：

這款惡意軟件使用了各種無文件技術(shù)來隱藏自己的活動蹤跡，并利用漏洞和遠(yuǎn)程管理工具（Windows管理工具）來遠(yuǎn)程感染目標(biāo)設(shè)備。在實(shí)現(xiàn)感染的過程中，惡意軟件會運(yùn)行一個PowerShell腳本，下載了挖礦主程序之后，腳本會立即啟動惡意軟件，而不是直接將其存入主機(jī)的硬盤中。

惡意腳本的運(yùn)行分為以下幾個階段：

自動更新：PowerGhost會定期檢查C&C服務(wù)器是否有新版本，有則自動下載并實(shí)現(xiàn)更新，而不會啟動之前的版本。

傳播：在mimikatz的幫助下，惡意軟件會收集受感染系統(tǒng)的用戶憑證，然后完成登錄并通過WMI在本地網(wǎng)絡(luò)中傳播惡意軟件副本。除此之外，PowerGhost還會利用臭名昭著的EternalBlue漏洞（MS17-010, CVE-2017-0144）在本地網(wǎng)絡(luò)中實(shí)現(xiàn)惡意軟件傳播。

提權(quán)：感染設(shè)備后，PowerGhost會利用漏洞MS16-032、MS15-051和CVE-2018-8120來在目標(biāo)設(shè)備上實(shí)現(xiàn)提權(quán)。

持久化感染：PowerGhost會將所有模塊存儲為WMI類，挖礦主體會以PowerShell腳本的形式存儲，每90分鐘激活一次。

Payload：最后，該腳本會通過反射型PE注入來加載PE文件并啟動挖礦程序。

在其中一個PowerGhost樣本中，研究人員還發(fā)現(xiàn)了用于執(zhí)行DDoS攻擊的代碼，顯然PowerGhost的作者還想通過提供額外的DDoS攻擊服務(wù)來賺取外快。

統(tǒng)計與地理分布

PowerGhost的主要攻擊目標(biāo)是企業(yè)用戶，因?yàn)楦鶕?jù)它的特性，公司的本地局域網(wǎng)更適合傳播。

目前，感染了PowerGhost的用戶主要分布在印度、巴西、哥倫比亞和土耳其等國家。

卡巴斯基實(shí)驗(yàn)室的產(chǎn)品的檢測標(biāo)識如下：

DM:Trojan.Win32.GenericPDM:Exploit.Win32.GenericHEUR:Trojan.Win32.Genericnot-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

nanopool.org和minexmr.com的電子錢包地址：

43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h2HkXaa1YJ7iz3AHtJNK5MD93z6tV9H

入侵威脅指標(biāo)

C&C主機(jī)名：

update.7h5uk[.]com185.128.43.62info.7h5uk[.]com

MD5：

AEEB46A88C9A37FA54CA2B64AE17F2484FE2DE6FBB278E56C23E90432F21F6C871404815F6A0171A29DE46846E78A07981E214A4120A4017809F5E7713B7EAC8

看完了這篇文章，相信你對“PowerGhost是一款什么軟件”有了一定的了解，如果想了解更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！