|
Nedávno Sangfor objevil nový typ těžebního viru s vysoce intenzivním chováním při konfrontaci virů a jeho mechanismus viru se výrazně liší od konvenčního těžebního procesu. V současnosti je virus v rané fázi vypuknutí a Sangfor pojmenoval virus EnMiner mining virus, který bude nadále sledovat a formulovat podrobná protiopatření.
Tento virus EnMiner je dosud nejvíce "vražedným" těžebním virem, s jakým se setkal, a má vysoce intenzivní chování při konfrontaci viru, které lze nazvat "sedm anti-pět zabití". Může anti-sandbox, anti-ladění, monitorování chování, anti-sítě, deassemblace, anti-souborové analýzy, anti-bezpečnostní analýzy a současné likvidace služeb, plánování úkolů, antiviry, podobné těžby a dokonce sebevraždy v největší míře odporu při analýze odporu!
Analýza virů Scénář útoku Útok viru EnMiner lze popsat jako připravený a udělal dost pro zabíjení disidentů a analýzu bojů.
Jak je znázorněno na obrázku výše, lsass.eXe je těžební virion (v adresáři C:\Windows\temp) a je zodpovědný za těžební funkce. Powershell skripty jsou šifrovány base64 a existují ve WMI se třemi moduly: Main, Killer a StartMiner. Hlavní modul je zodpovědný za spustění, Killer za ukončení služby a procesu a StartMiner za zahájení těžby. Podrobnosti jsou následující:
Za prvé, pokud je předmět neobvyklý ve WMI, PowerShell se spustí v plánovaný čas a automaticky se spustí jednou za hodinu podle příkazu WQL.
Zjistěte, zda soubor lsass.eXe existuje, a pokud ne, načte WMI
root\cimv2: PowerShell_Command vlastnost EnMiner ve třídě a Base64 dekódování a zápis do lsass.eXe.
Jakmile jsou všechny procesy provedeny, začíná těžba.
Pokročilá konfrontace Kromě těžebních funkcí má těžební virus lsass.eXe také pokročilé adversariální chování, tedy dělá vše pro to, aby zabránil bezpečnostnímu softwaru nebo bezpečnostnímu personálu v jeho analýze.
lsass.eXe vytváří vlákno se silnými adversariálními operacemi takto:
Projděte procesem a zjistěte, že existuje související proces (např. sandboxový proces SbieSvc.exe objeven) a sám se ukončíte:
Odpovídající disassemblovací kód je následující:
Shrnuto, má operaci "sedm antis", což znamená, že když jsou k dispozici následující nástroje nebo procesy pro bezpečnostní analýzu, automaticky se ukončí, aby zabránil analýze ze strany prostředí sandboxu nebo bezpečnostního personálu.
První anti: anti-sandbox
Anti-sandboxové soubory: SbieSvc.exe SbieCtrl.exe JoeBoxControl.exe JoeBoxServer.exe Druhý anti: anti-ladění
Anti-debug soubory: WinDbg.exe, OllyDBG.exe, OllyICE.exe, ImmunityDe
bugger.exe,
x32dbg.exe x64dbg.exe, win32_remote.exe win64_remote64.exe Třetí proti: anti-behaviorální monitorování
Soubory monitorování proti chování: RegMon.exe RegShot.exe FileMon.exe ProcMon.exe, AutoRuns.exe, AutoRuns64.exe, taskmgr.exe PerfMon.exe, ProcExp.exe ProExp64.exe,
ProcessHacker.exe sysAnalyzer.exe,
Proc_Analyzer.exe Proc_Watch.exe,
Sniff_Hit.exe Čtvrtý proti: protisíťový dohled
Soubory monitorování proti síti: Wireshark.exe DumpCap.exe, TShark.exe, APorts.exe TcpView.exe Pátý opak: rozebrání
Dokumenty k rozebírání: IDAG.exe IDAG64.exe, IDAQ.exe IDAQ64.exe Šestý anti: analýza antidokumentů
Soubory analýzy proti souborům: PEiD.exe WinHex.exe LordPE.exe PEditor.exe Stud_PE.exe ImportREC.exe Sedmý proti: analýza anti-bezpečnosti
Software pro analýzu proti bezpečnosti: HRSword.exe,
HipsDaemon.exe ZhuDongFangYu.exe,
QQPCRTP.exe PCHunter32.exe,
PCHunter64.exe Rozsáhlé zabíjení Aby maximalizovala zisk, EnMiner Mining provádí operaci "PentaKill".
První zabití: zabít službu
Ukončit všechny servisní procesy, které překážejí (všechny operace zabíjení se provádějí v modulu Killer).
Druhá zabití: Mise s plánem zabití
Všechny možné plánované úkoly, plýtvání systémovými zdroji (CPU zdroji, které mě nejvíce trápí), budou zničeny.
Třetí zabití: zabít virus
EnMiner má antivir. Je to kvůli dobrým skutkům?
Samozřejmě že ne, stejně jako WannaCry 2.0, i WannaCry 2.1 způsobí modré obrazovky, vydírání a rozhodně ovlivní těžbu EnMinerů, a ti budou zabiti.
Dalším příkladem je BillGates DDoS virus, který má DDoS funkci, což určitě ovlivní těžbu EnMineru a vše bude zničeno.
Čtvrté zabití: zabijte své spolužáky
Peers jsou nepřátelé, jeden stroj nesmí těžit dva doly a EnMiner nedovoluje jiným, aby s ním převzali "těžbu". Na trhu najdete všechny druhy těžebních virů, narazíte na jeden a zabijete jednoho.
Aby bylo zajištěno, že peery jsou zcela mrtvé, jsou další procesy zabijány přes porty (běžně používané porty pro těžbu).
Páté zabití: sebevražda
Jak již bylo zmíněno, když EnMiner zjistí, že existují relevantní nástroje pro bezpečnostní analýzu, stáhne se, tedy přizpůsobí se, což je maximální odolnost vůči analýze.
Lehni si a můj EnMiner Miner, který provedl operaci "sedm anti-pět zabití", nemá konkurenci a v podstatě doluje v klidu. Kromě toho lze těžební virion lsass.eXe regenerovat z WMI pomocí Base64 dekódování. To znamená, že pokud zabijete jen lsass.eXe, WMI se bude regenerovat každou hodinu a můžete těžit vleže.
Dosud virus těžil Monero a virus je v počátečních fázích epidemie, přičemž Sangfor připomíná uživatelům, aby posílili prevenci.
řešení 1. Izolujte infikovaného hostitele: Izolujte infikovaný počítač co nejdříve, uzavřete všechna síťová připojení a deaktivujte síťovou kartu.
2. Potvrdit počet infekcí: Doporučuje se použít firewall nové generace nebo bezpečnostní platformu Sangforu pro potvrzení v celé síti.
3. Smazat startovací položky výjimek ve WMI:
Použijte nástroj Autoruns (odkaz ke stažení je:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), najděte abnormální spuštění WMI a smažte ho.
4. Kontrolovat a zlikvidovat viry
5. Záplaty zranitelností: Pokud jsou v systému zranitelnosti, opravte je včas, abyste se vyhnuli virovému zneužití.
6. Změnit heslo: Pokud je heslo k hostitelskému účtu slabé, doporučuje se resetovat vysoce silné heslo, aby se zabránilo použití pomocí blastování. | 
Zveřejněno 26.06.2018 9:46:47
|
|
|
|
