最新研究指出，自2017年加密货币价格飙升以来，越来越多的犯罪分子将目光转向加密数字货币，这催生了大量恶意软件，并利用不知情的企业和用户的计算资源为自己非法牟利。 　　

　　来自Minerva实验室的安全研究人员最近发现了这样一种名为“GhostMiner”,的新型加密货币挖矿恶意软件，它采用了其他恶意软件家族使用的最有效的技术，包括无文件感染攻击。 　　

　　所谓“无文件攻击”的本质是攻击者希望恶意软件尽可能保持不可见，以降低他们被发现的概率，因此需要对被感染的系统进行最少次数的干扰，并在系统中留下最少的痕迹。恶意软件未被检测到的时间越长，它们实现攻击目标的可能性就越大。 　　

　　因此，无文件恶意软件会删除其保存在受感染系统磁盘上的所有文件，将加密数据保存在注册表中，将代码注入运行进程，并使用PowerShell、Windows Management Instrumentation等技术使其难以被检测。 　　

　　据报道，该新型挖矿软件主要针对Monero加密货币已经使用PowerShell规避框架-――Out-compressed ll和Invoke-ReflectivePEInjection通过无文件技术来隐藏其恶意代码。 　　

　　恶意软件的每个组件都是为不同的目的而设计的：一个PowerShell脚本用于确保恶意软件传播到新的机器，另一个用于执行实际的挖掘操作。 　　

　　Minerva实验室的两位研究人员Asaf Aprozper和Gal Bitensky透露：“这种规避方法在绕过许多安全工具方面非常有效：我们分析的一些恶意软件的有效载荷根本没有被所有安全供应商发现。” 　　

　　安全研究人员比较了无文件方法和无文件方法对恶意可执行文件的检测结果，发现了一旦无文件模块被移除，大多数VirusTotal供应商都能够成功地检测出这些有效载荷。. 　　

　　经过分析，研究人员发现负责感染新设备的PowerShell脚本主要针对运行Oracle WebLogic(利用CVE-2017-10271漏洞)、MSSQL和phpMyAdmin的服务器。 　　

　　不过，研究人员也表示，此次攻击只是试图利用了WebLogic服务器。在针对WebLogic服务器的攻击中，GhostMiner恶意代码会通过随机扫描IP地址，每秒创建大量新的TCP连接，试图找到易受攻击的目标设备。 　　

　　通过基于Base64编码的请求和回复，就可以执行与命令和控制（CC）服务器的通信。该恶意软件用来交换消息的协议涉及一个简单的握手，然后是执行各种任务的请求。一旦任务完成，一个新的请求就会被发送到服务器。 　　

　　挖掘组件是开源XMRig Miner(高性能Monroe Coin CPU Miner)的轻量级定制版，可以直接从内存启动。 　　

　　Minerva实验室的研究人员表示，当我们发现该恶意软件时，其挖掘活动已经运行了约3周，但根据跟踪的加密货币钱包，攻击者迄今为止仅获得了1.03 Monero(约200美元)。也许，攻击者仍在使用研究人员尚未发现的加密货币钱包地址来获取利润。 　　

　　GhostMiner挖矿活动收益较低的另一个潜在原因是采矿活动的竞争过于激烈。潜在的受害者数量确实很多，但是他们使用的攻击和技术都是公开的，攻击者意识到他们的竞争对手共享相同的工具集，并尝试感染相同的易受攻击的目标设备。 　　

　　根据研究人员的说法，被分析的恶意软件样本中还包含各种技术，可以结束目标设备上运行的任何其它恶意挖矿进程。在GhostMiner的编码中有一个硬编码的黑名单。它通过exe文件格式将GhostMiner开发者已知的一些其他挖矿恶意软件列入黑名单，然后使用PowerShell的“Stop-Process -force”命令行参数终止并删除目标设备上运行的其他挖矿程序。 　　

　　最后，Minerva Labs安全研究人员建议防御者可以使用类似于这些“竞争对手杀手”的方法来阻止恶意挖掘程序在终端上运行。他们甚至为此提供了一个可以修改的杀手脚本。