Мультитул для майнинга

Недавно в поле зрения наших защитных решений попала интересная реализация майнера, которую мы назвали PowerGhost. Зловред умеет незаметно закрепляться в системе и распространяется внутри крупных корпоративных сетей, заражая как рабочие станции, так и сервера. В целом, скрытое закрепление характерно для майнеров: чем больше и чем дольше машины будут заражены, тем больше доход у злоумышленника. Потому нередки случаи заражения чистого ПО майнером, в таком случае массовость обеспечивалась за счет популярности легитимной программы. Однако создатели PowerGhost пошли дальше и стали использовать бесфайловые (fileless) техники для закрепления нелегального майнера в системе. Похоже, рост популярности и стоимости криптовалют, убедил киберпреступников в необходимости вкладывать ресурсы в разработку новых техник для майнеров, которые по нашим данным постепенно приходят на смену троянцам-вымогателям.

Технические детали и способ распространения

PowerGhost представляет собой обфусцированный powershell-скрипт, содержащий основной код и дополнительные модули: непосредственно майнер, mimikatz, библиотеки msvcp120.dll и msvcr120.dll, необходимые для работы майнера, модуль для reflective PE injection и shellcode для эксплойта EternalBlue.

Фрагмент обфусцированного скрипта

Дополнительные модули, закодированные в base64

Зловред использует множество бесфайловых техник, чтобы оставаться незаметным для пользователя и избегать обнаружения антивирусными технологиями. Заражение машины происходит удаленно с использованием эксплойтов или инструментов удаленного администрирования (Windows Management Instrumentation). При заражении запускается однострочный powershell-скрипт, который выкачивает основное тело зловреда и сразу запускает его, не записывая на жесткий диск.

Далее работу скрипта можно разделить на несколько этапов:

• Автообновление. PowerGhost проверяет наличие новой версии на C&C и, если она есть, скачивает и запускает ее вместо себя.



• Распространение. При помощи mimikatz зловред получает данные учетных записей с текущей машины и с их помощью пытается распространиться по локальной сети, авторизуясь и запуская свою копию через WMI. Под «своей копией» здесь и далее подразумевается однострочник, скачивающий основное тело с C&C-сервера злоумышленников.
  Кроме того, PowerGhost также пытается распространиться по локальной сети, используя печально известный эксплойт Eternalblue (MS17-010, CVE-2017-0144).
• Повышение привилегий. Распространяясь через mimikatz и WMI, зловред может попасть на новую машину с правами пользователя. Далее он пытается повысить свои привилегии в системе при помощи эксплойтов (32- или 64-битных) для MS16-032, MS15-051 и CVE-2018-8120.
• Закрепление в системе. PowerGhost сохраняет все модули как свойства WMI-класса. Тело зловреда сохраняется в виде однострочного powershell-скрипта в WMI-подписку, которая срабатывает каждые 1,5 часа.



• Полезная нагрузка. Последним скрипт запускает майнер, загружая PE файл через reflective PE injection.

В одной из версий PowerGhost мы обнаружили инструмент для проведения DDoS-атак. Очевидно, авторы решили получить дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Powershell-функция с говорящим именем RunDDOS

Стоит отметить, что это единственная функция зловреда, которая копирует файлы на жесткий диск. Вполне вероятно, что это тестовый инструмент и в дальнейшем он будет заменен на бесфайловую реализацию. В пользу того, что функция была добавлена в данный образец, скажем так, на скорую руку, также указывает особенность запуска DDoS-модуля. Скрипт скачивает два PE-модуля logos.png и cohernece.txt. Первый сохраняется на диске как java-log-9527.log и представляет собой исполняемый файл для проведения DDoS-атак. Файл cohernece.txt защищен протектором Themida с опцией проверки запуска в виртуальной среде. Если проверка не обнаружила «песочницу», то cohernece.txt запускает файл java-log-9527.log на исполнение. Таким странным способом к уже готовому DDoS-модулю добавили функцию проверки виртуальной среды.

Фрагмент дизассемблированного кода файла cohernece.txt

Статистика и география

Основными жертвами атаки стали корпоративные пользователи: PowerGhost проще распространяться внутри локальной сети компании.

В основном, PowerGhost встречается в Индии, Бразилии, Колумбии и Турции.

Продукты «Лаборатории Касперского» определяют зловред и его компоненты со следующими вердиктами:

• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Кошельки на nanopool.org и minexmr.com

43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb
49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h1HkXaa1YJ7iz3AHtJNK5MD93z6tV9H

Индикаторы заражения (IoC)

C&C hostnames:

• update.7h4uk[.]com
• 185.128.43.62
• info.7h4uk[.]com

MD5:

AEEB46A88C9A37FA54CA2B64AE17F248
4FE2DE6FBB278E56C23E90432F21F6C8
71404815F6A0171A29DE46846E78A079
81E214A4120A4017809F5E7713B7EAC8