PowerGhost可以在系统中悄悄的复制，并通过企业网络进行传播，不仅可以感染工作站还可以感染服务器。清理类软件感染挖矿机并不常见，然而合法软件的流行度进一步促进了恶意软件的传播。PowerGhost的作者使用无文件技术在受害者系统中建立非法挖矿机，因为加密货币的流行以及汇率的不断增长，数据显示加密货币挖矿或将取代勒索软件木马。

技术细节和传播方法

PowerGhost是混淆后的power shell脚本，脚本中含有核心代码以及其他组件，包括挖矿机、mimikatz、挖矿机运行所需的msvcp120.dll和msvcr120.dll、反射性PE注入模块、以及EternalBlue利用的shell code。

混淆的脚本代码片段

编码的添加模块

恶意程序使用无文件技术来确保不引起用户和反病毒技术的注意。恶意软件会利用漏洞和远程管理工具远程感染受害者设备。在感染过程中，会运行一个一行的power shell脚本，该脚本会下载挖矿机主体并在文件未写入硬盘前就加载。

之后脚本的执行可以分为以下几个阶段：

· 自动更新。PowerGhost会检查C2服务器上是否有新版本恶意软件，如果有就下载新版本并加载。

· 传播。在mimikatz的帮助下，挖矿机可以从受害者设备上获取用户账户凭证，然后攻击者可以用凭证去登陆，并尝试通过WMI加载副本在本地网络上传播。PowerGhost还尝试通过EternalBlue exploit (MS17-010, CVE-2017-0144) 在本地网络上传播。

· 提权。挖矿机会通过mimikatz和WMI传播，最终会在有用户权限的新机器上停止，然后通过MS16-032, MS15-051和CVE-2018-8120的32/64位漏洞利用进行系统权限提升。

· 建立落脚点。PowerGhost会把所有模块保存为WMI的类，挖矿机的主体以银行power shell脚本的形式保存在WMI订阅中，每隔90分钟会执行1次。

· Payload。最后，脚本会通过反射型PE注入来加载PE文件来加载挖矿机。

在一个PowerGhost版本中，研究人员还检测到执行DDoS攻击的工具。恶意软件作者明显还想通过提供DDoS攻击服务来获利。

名为RunDDOS的PowerShell函数

需要说明的是将文件复制到硬盘只是挖矿机的其中一个功能。这极有可能只是一个测试工具，未来会被无文件技术所替代。加入该功能的另一个原因可能是DDoS模块，脚本会下载两个PE模块，分别是logos.png和cohernece.txt。logos.png会保存为java-log-9527.log，也是执行DDoS攻击的可执行文件。cohernece.txt是用软件保护工具Themida保护的，主要目的是检查是否在虚拟环境中执行。如果没有检查到沙箱，cohernece.txt文件就会加载并执行java-log-9527.log。

cohernece.txt文件中分解的代码段

统计数据和位置分布

PowerGhost可以很容易的在企业本地网络上传播，主要的传播区域在印度、巴西、哥伦比亚和土耳其。

挖矿机的感染地图

IOC

C2:

update.7h4uk[.]com

185.128.43.62

info.7h4uk[.]com

MD5:

AEEB46A88C9A37FA54CA2B64AE17F248
4FE2DE6FBB278E56C23E90432F21F6C8
71404815F6A0171A29DE46846E78A079
81E214A4120A4017809F5E7713B7EAC8