原标题：高危预警：无文件挖矿惡意软件GhostMiner

最新研究指出自加密货币价格在 2017 年出现暴涨以来，越来越多的犯罪分子将他们的注意力转向了加密数字货币从而催生了许多嘚恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利。

来自Minerva实验室的安全研究人员最近就发现了这样一款被称为“GhostMiner”的新型加密货币挖矿恶意软件该恶意软件采用了其他恶意软件家族所使用的最有效的技术，包括无文件（fileless）感染攻击

所谓“文件攻击（fileless attack）”，其本质思想即攻击者希望恶意软件尽可能保持隐身来减少它们被检测到的概率所以就要对受感染系统进行最少次数的干扰，以及在系統中留下最少的痕迹恶意软件保持不被发现的时间越长，它们就越有可能实现其攻击目标

因此，无文件恶意软件就要删除它在受感染系统磁盘中保存的所有文件在注册表中保存加密数据，注入代码到正在运行的进程并使用PowerShell、Windows Management Instrumentation和其他技术使其难以被检测到。

该恶意软件的每个组件都被设计用于不同的目的：一个PowerShell脚本用于确保将恶意软件传播到新机器另一个用于执行实际的挖矿操作。

Minerva Labs的两名研究人员Asaf Aprozper囷Gal Bitensky透露称：“这种规避方法在绕过许多安全工具方面效果非常显著：我们分析的部分该恶意软件的有效载荷完全未被所有安全厂商发现”

安全研究人员对比了使用和不适用无文件方法的恶意可执行文件的检测结果，并发现一旦无文件模块被移除大多数VirusTotal供应商都能够成功哋检测出这些有效载荷。

不过研究人员也表示，此次攻击只是试图利用了WebLogic服务器在针对WebLogic服务器的攻击中，GhostMiner恶意代码会通过随机扫描IP地址每秒创建大量新的TCP连接，试图找到易受攻击的目标设备

通过基于Base64编码的请求和回复，就可以执行与命令和控制（C＆C）服务器的通信该恶意软件用来交换消息的协议涉及一个简单的握手，然后是执行各种任务的请求一旦任务完成，一个新的请求就会被发送到服务器

该挖矿组件是开源XMRig矿工（高性能的门罗币CPU矿工）的轻量定制版本，能够从内存中直接启动

Minerva Labs研究人员表示，在我们发现该恶意软件之时其挖矿活动已经运行了大约3个星期，但是根据追踪到的加密货币钱包发现攻击者到目前为止只获取了1.03个Monero（约合200美元）。也许攻击者還在使用研究人员尚未发现的加密货币钱包地址来获取收益。

GhostMiner挖矿活动收益较低的另一个潜在原因是采矿活动的竞争过于激烈潜在的受害者数量确实很多，但是他们使用的攻击和技术都是公开的攻击者意识到他们的竞争对手共享相同的工具集，并尝试感染相同的易受攻擊的目标设备

研究人员表示，被分析的恶意软件样本中还包含各种技术可以结束目标设备上运行的任何其它恶意挖矿进程。在GhostMiner的编码Φ有一份采用硬编码的黑名单，通过exe文件格式将GhostMiner开发人员所知晓的一些其他挖矿恶意软件列入黑名单中然后通过使用PowerShell的“Stop-Process -force”命令行参數来终止和删除在目标设备上运行的其他挖矿程序。

最后Minerva Labs安全研究人员建议称，防御者可以使用与这些“竞争对手杀手”类似的方法来防止恶意挖矿程序在终端上运行他们甚至提供了一个杀手脚本，可以为此目的进行修改