[Анализ на вируси] Предупреждение за висока енергия! Бъдете внимателни с добива на EnMiner

Наскоро Сангфор откри нов тип минен вирус с високоинтензивно конфронтационно поведение с вируси, чийто вирусен механизъм е много различен от този при конвенционалното добивно производство. В момента вирусът е в ранните етапи на огнището и Сангфор е нарекъл вируса EnMiner mining virus, като ще продължи да следи развитието му и да разработва подробни контрамерки.

Този EnMiner вирус е най-"смъртоносният" минен вирус, срещан досега, и има високоинтензивно поведение при конфронтация с вируси, което може да се нарече "седем анти-пет убийства". Той може да извършва анти-пясъчник, анти-дебъгване, анти-поведенчески мониторинг, антимрежов мониторинг, разглобяване, анти-файлов анализ, антисигурност анализ и едновременно убиване на услуги, планиране, антивируси, подобно копаене и дори самоубийство до най-голяма степен на поведение в анализ на устойчивостта!     

Анализ на вируси

Сценарий на атака

Атаката с вируса EnMiner може да се опише като подготвена и е направила достатъчно, за да убие дисиденти и да се бори с анализа.

Както е показано на горната фигура, lsass.eXe е копаен вирион (в директорията C:\Windows\temp) и отговаря за миньорските функции. Powershell скриптовете са криптирани в base64 и съществуват в WMI, с три модула: Main, Killer и StartMiner. Главният модул отговаря за стартирането, Killer е отговорен за убиването на услугата и процеса, а StartMiner е отговорен за започването на копаене. Подробностите са следните:

Първо, ако има ненормален WMI елемент, PowerShell ще се стартира в планирано време и автоматично ще се задейства веднъж на всеки 1 час според WQL изявлението.

Определете дали съществува файлът lsass.eXe и ако не, той ще чете WMI

root\cimv2: PowerShell_Command свойството EnMiner в класа и Base64 декодира и записва в lsass.eXe.

След като всички процеси бъдат изпълнени, започва копаенето.

Напреднала конфронтация

Освен майнинг функциите, самият вирус lsass.eXe също притежава напреднало противниково поведение, тоест прави всичко възможно, за да предотврати анализа на софтуера за сигурност или служителите по сигурността.

lsass.eXe създава нишка с силни противникови операции като тази:

Итерирайте процеса и открийте, че има свързан процес (например SbieSvc.exe открит пясъчник-процес) и завършите:

Съответният код за разглобяване е следният:

В обобщение, той има операция "седем антиси", тоест, когато има следните инструменти или процеси за анализ на сигурността, автоматично излиза, за да предотврати анализа от пясъчната среда или служителите по сигурността.

Първият анти: анти-пясъчник

Анти-пясъчникови файлове:

Второто анти: анти-дебъгинг

Анти-дебъг файлове:

Третият анти-мониторинг: антиповеденчески мониторинг

Файлове за мониторинг на антиповедение:

Четвъртият анти: антимрежово наблюдение

Файлове за мониторинг на антимрежата:

Пета антитеза: разглобяване

Документи за разглобяване:

Шесто анти: анти-анализ на документи

Анти-файлови аналитични файлове:

Седми анти-анализ на сигурността

Софтуер за анализ на антисигурността:

Масови убийства

За да максимизира печалбите, EnMiner Mining изпълнява операцията "PentaKill".

Първото убийство: унищожаване на службата

Прекратете всички сервизни процеси, които пречат (всички операции по убиване се извършват в модула Killer).

Второ убийство: Мисия за план за унищожение

Всякакви планирани задачи, които губят системни ресурси (CPU ресурси, за които копаенето е най-важно), ще бъдат унищожени.

Третото убийство: унищожаване на вируса

EnMiner има антивирус. Дали е за да вършиш добри дела?

Разбира се, че не, както при WannaCry 2.0, WannaCry 2.1 ще предизвика сини екрани, изнудване и определено ще повлияе на копая на EnMiner, а те ще бъдат убити.

Друг пример е вирусът BillGates DDoS, който има DDoS функция и определено ще повлияе на EnMiner копаенето и всичко ще бъде унищожено.

Четвърто убийство: убий връстниците си

Партньорите са врагове, една машина не е позволена да копае две мини, а EnMiner не позволява на други да се занимават с "копаене" с нея. Всякакви видове миньорски вируси на пазара, срещнете един и унищожете един.

За да се гарантира, че peer-овете са напълно мъртви, допълнителни процеси се прекратяват чрез портове (често използвани портове за добив).

Петото убийство: самоубийство

Както беше споменато по-рано, когато EnMiner открие, че има релевантни инструменти за анализ на сигурността, той ще се оттегли, тоест костюма, който е максималната устойчивост на анализ.

Легни и моя

EnMiner Miner, която е извършила операцията "седем анти-пет убийства", няма конкуренти и на практика копае без усилие. Освен това, минният вирион lsass.eXe може да бъде регенериран от WMI чрез декодиране на Base64. Това означава, че ако убиеш само lsass.eXe, WMI ще се регенерира на всеки 1 час и можеш да копаеш легнал.

Досега вирусът е добивал в Monero, а вирусът е в ранните етапи на огнището, а Сангфор напомня на потребителите да засилят превенцията.

решение

1. Изолирайте заразения хост: Изолирайте заразения компютър възможно най-скоро, затворете всички мрежови връзки и деактивирайте мрежовата карта.

2. Потвърждаване на броя на инфекциите: Препоръчва се използването на платформата за защитна стена от следващо поколение на Sangfor за потвърждение в цялата мрежа.

3. Изтрийте стартови елементи за изключение на WMI:

Използвайте инструмента Autoruns (линк за изтегляне е:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), намери необичайното стартиране на WMI и го изтрий.

4. Проверявайте и унищожавайте вирусите

5. Уязвимости при пачване: Ако има уязвимости в системата, пачнете ги навреме, за да избегнете експлоатиране от вируси.

6. Промяна на паролата: Ако паролата на хост акаунта е слаба, препоръчва се да се нулира високосилната парола, за да се избегне използването при blasting.