بررسی فنی بدافزار
GhostMiner
قسمت اول :
عملیات اصلی توسط یک فایل اجرایی ویندوزی انجام میگردد. و برای ناشناس ماندن از فریم ورک های پنهان سازی زیر استفاده میکند :
Out-compressedDll
Invoke-ReflectivePEInjection
عمل این فریم ورک ها Fileless کردن کدهای اجرایی است .
@roozbeh_learning 👈🏼
GhostMiner
قسمت اول :
عملیات اصلی توسط یک فایل اجرایی ویندوزی انجام میگردد. و برای ناشناس ماندن از فریم ورک های پنهان سازی زیر استفاده میکند :
Out-compressedDll
Invoke-ReflectivePEInjection
عمل این فریم ورک ها Fileless کردن کدهای اجرایی است .
@roozbeh_learning 👈🏼
هرگاه مایبنر از تکنیک Fileless استفاده کند ، آنتی ویروسها نمیتوانند انرا کشف کنند در غیر اینصورت شناسایی میشود 👇
برای الوده سازی قربانیان جدید، Neutrino.ps1 به میان می آید و قربانیان از لیست زیر هستند:
Oracle weblogic
MSSQL
PHPMyAdmin
اغلب بصورت تصادفی به جستجو و پراب IP ها میپردازد و تلاش میکند اهداف آسیب پذیر را بیابد
@roozbeh_learning 👈🏼
Oracle weblogic
MSSQL
PHPMyAdmin
اغلب بصورت تصادفی به جستجو و پراب IP ها میپردازد و تلاش میکند اهداف آسیب پذیر را بیابد
@roozbeh_learning 👈🏼
برای اینکه عملیات از نظر تجهیزات امنیت شبکه مخفی بماند ارتباط خود را با سرور C2 خود با انکدینگ Base64 از طریق HTTP به انحام میرساند
شکل زیر
@roozbeh_learning 👈🏼
شکل زیر
@roozbeh_learning 👈🏼
شکل فوق بخشی از پکت اخذ شده از ارتباطات :
در قسمت قرمز درخواست شامل یک تسک جدید با مشخصات ایستگاه الوده و درقسمت ابی پاسخ را میبینید دستور در راستای الوده سازی یک سرور وبلاجیک
به نظر میرسد کاربران این سرور C2 چینی زبان باشند
@roozbeh_learning 👈🏼
در قسمت قرمز درخواست شامل یک تسک جدید با مشخصات ایستگاه الوده و درقسمت ابی پاسخ را میبینید دستور در راستای الوده سازی یک سرور وبلاجیک
به نظر میرسد کاربران این سرور C2 چینی زبان باشند
@roozbeh_learning 👈🏼
❇️درحال بررسی فنی بدافزار
GhostMiner
هستیم
حال ماینینگ چطور اتفاق میافتد 👇👇
GhostMiner
هستیم
حال ماینینگ چطور اتفاق میافتد 👇👇
با توجه به تکنیک Fileless ای که به کار برده است مستقیما از داخل حافظه اجرا میگردد و بر اساس شواهد نسخه تغییر یافته ماینر اپن سورسXMRig است
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼
دلیل درامد کم این ماینر را میتوان در دو مورد زیر دید :
اول به دلیل قابلیت Monero که برای پنهان سازی استفاده میکند ، آدرسهایی دیگر هم برای ارتباطات دارد که در انالیز فوق کشف نشده است
دوم به دلیل اینکه این ماینر ها از اسیب پذیری های عام استفاده میکنند ، تعداد بالایی از هکرها ماینر خود را تولید کرده اند و رقابت بالا است
@roozbeh_learning 👈🏼
اول به دلیل قابلیت Monero که برای پنهان سازی استفاده میکند ، آدرسهایی دیگر هم برای ارتباطات دارد که در انالیز فوق کشف نشده است
دوم به دلیل اینکه این ماینر ها از اسیب پذیری های عام استفاده میکنند ، تعداد بالایی از هکرها ماینر خود را تولید کرده اند و رقابت بالا است
@roozbeh_learning 👈🏼
نشانه های تسخیر شدگی ( آلودگی) سیستم های شما به این ماینر
IOCs
C2 IP Address:
123[.]59[.]68[.]172
Hashes (SHA-256)
Neutrino.ps1:
4b9ce06c6dc82947e888e919c3b8108886f70e5d80a3b601cc6eb3752a1069a1
9a326afeeb2ba80de356992ec72beeab28e4c11966b28a16356b43a397d132e8
WMI.ps1:
40a507a88ba03b9da3de235c9c0afdfcf7a0473c8704cbb26e16b1b782becd4d
WMI64.ps1:
8a2bdea733ef3482e8d8f335e6a4e75c690e599a218a392ebac6fcb7c8709b52
Associated Monero address:
43ZSpXdMerQGerimDrUviDN6qP3vkwnkZY1vvzTV22AbLW1oCCBDstNjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3fchGfc
“Killer” noscript:
Service names
xWinWpdSrv
SVSHost
Microsoft Telemetry
lsass
Microsoft
system
Oracleupdate
CLR
sysmgt
gm
WmdnPnSN
Sougoudl
Nationaaal
Natimmonal
Nationaloll
Task names
Mysa
Mysa1
Mysa2
Mysa3
ok
Oracle Java
Oracle Java Update
Microsoft Telemetry
Spooler SubSystem Service
Oracle Products Reporter
Update service for products
gm
ngm
Process names
msinfo
xmrig*
minerd
MinerGate
Carbon
yamm1
upgeade
auto-upgeade
svshost
SystemIIS
SystemIISSec
WindowsUpdater*
WindowsDefender*
update
carss
service
csrsc
cara
javaupd
gxdrv
lsmosee
Miner related server side TCP ports
1111
2222
3333
4444
5555
6666
7777
8888
9999
14433
14444
45560
65333
55335
Miner related command line arguments
*cryptonight*
*stratum+*
*--donate-level*
*--max-cpu-usage*
*-p x*
*pool.electroneum.hashvault
@roozbeh_learning 👈🏼
IOCs
C2 IP Address:
123[.]59[.]68[.]172
Hashes (SHA-256)
Neutrino.ps1:
4b9ce06c6dc82947e888e919c3b8108886f70e5d80a3b601cc6eb3752a1069a1
9a326afeeb2ba80de356992ec72beeab28e4c11966b28a16356b43a397d132e8
WMI.ps1:
40a507a88ba03b9da3de235c9c0afdfcf7a0473c8704cbb26e16b1b782becd4d
WMI64.ps1:
8a2bdea733ef3482e8d8f335e6a4e75c690e599a218a392ebac6fcb7c8709b52
Associated Monero address:
43ZSpXdMerQGerimDrUviDN6qP3vkwnkZY1vvzTV22AbLW1oCCBDstNjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3fchGfc
“Killer” noscript:
Service names
xWinWpdSrv
SVSHost
Microsoft Telemetry
lsass
Microsoft
system
Oracleupdate
CLR
sysmgt
gm
WmdnPnSN
Sougoudl
Nationaaal
Natimmonal
Nationaloll
Task names
Mysa
Mysa1
Mysa2
Mysa3
ok
Oracle Java
Oracle Java Update
Microsoft Telemetry
Spooler SubSystem Service
Oracle Products Reporter
Update service for products
gm
ngm
Process names
msinfo
xmrig*
minerd
MinerGate
Carbon
yamm1
upgeade
auto-upgeade
svshost
SystemIIS
SystemIISSec
WindowsUpdater*
WindowsDefender*
update
carss
service
csrsc
cara
javaupd
gxdrv
lsmosee
Miner related server side TCP ports
1111
2222
3333
4444
5555
6666
7777
8888
9999
14433
14444
45560
65333
55335
Miner related command line arguments
*cryptonight*
*stratum+*
*--donate-level*
*--max-cpu-usage*
*-p x*
*pool.electroneum.hashvault
@roozbeh_learning 👈🏼
روش درمان :
ماینر در حال اجرا را Kill کنید :
using PowerShell’s “Stop-Process -force” command
سرویس های بلک لیست ماینر ( اشاره شده در قسمت نشانه های آلودگی ) را استاپ و پاک کنید
در قسمت تسک های زمان بندی شده آنرا پاک کنید و همچنین سرویس های مرتبط که زمان بندی شده اند
از طریق کانکشن های برقرار شده و پورتهای مرتبط ماینر را شناسایی کرده و سرویس مربوطه را استاپ کنید
@roozbeh_learning
ماینر در حال اجرا را Kill کنید :
using PowerShell’s “Stop-Process -force” command
سرویس های بلک لیست ماینر ( اشاره شده در قسمت نشانه های آلودگی ) را استاپ و پاک کنید
در قسمت تسک های زمان بندی شده آنرا پاک کنید و همچنین سرویس های مرتبط که زمان بندی شده اند
از طریق کانکشن های برقرار شده و پورتهای مرتبط ماینر را شناسایی کرده و سرویس مربوطه را استاپ کنید
@roozbeh_learning