[Virusanalyse] Højenergi-advarsel! Vær forsigtig med EnMiner-minedrift

For nylig opdagede Sangfor en ny type minedriftsvirus med højintensiv viruskonfrontationsadfærd, og dens virusmekanisme adskiller sig meget fra konventionel minedrift. På nuværende tidspunkt er virussen i de tidlige faser af udbruddet, og Sangfor har navngivet virussen EnMiner mining virus, og vil fortsætte med at følge dens udvikling og formulere detaljerede modforanstaltninger.

Denne EnMiner-virus er den mest "morderske" minevirus, der hidtil er blevet mødt, og har en højintensiv viruskonfrontationsadfærd, som kan kaldes "syv anti-fem drab". Det kan anti-sandbox, anti-debugging, anti-adfærdsovervågning, anti-netværksovervågning, disassembly, anti-filanalyse, anti-sikkerhedsanalyse og samtidig nedlæggelse af tjenester, planlægningsopgaver, anti-vira, lignende minedrift og endda selvmord i størst grad af resistensanalyseadfærd!     

Virusanalyse

Angrebsscenarie

EnMiner-virusangrebet kan beskrives som forberedt, og det har gjort nok til at dræbe dissidenter og bekæmpe analyse.

Som vist i figuren ovenfor er lsass.eXe en mining-virion (i C:\Windows\temp-mappen) og er ansvarlig for mining-funktioner. Powershell-scripts er base64-krypterede og findes i WMI med tre moduler: Main, Killer og StartMiner. Hovedmodulet er ansvarligt for at starte, Killer er ansvarlig for at dræbe tjenesten og processen, og StartMiner er ansvarlig for at starte minedriften. Detaljerne er som følger:

For det første, hvis der er et unormalt WMI-element, vil PowerShell blive startet på et fastsat tidspunkt, og det vil automatisk blive udløst én gang hver 1. time ifølge WQL-sætningen.

Find ud af, om lsass.eXe-filen eksisterer, og hvis ikke, vil den læse WMI

root\cimv2: PowerShell_Command EnMiner-egenskaben i klassen og Base64 dekodning og skrivning til lsass.eXe.

Når alle processer er udført, begynder minedriften.

Fremskudt konfrontation

Ud over minedriftsfunktioner har mining-virussen lsass.eXe også avanceret adversarial adfærd, det vil sige, at den gør alt for at forhindre sikkerhedssoftware eller sikkerhedspersonale i at analysere den.

lsass.eXe opretter en tråd med stærke adversarielle operationer som denne:

Iterer gennem processen og find, at der findes en relateret proces (f.eks. sandkasseprocessen SbieSvc.exe opdaget) og slut sig selv:

Den tilsvarende disassemblykode er som følger:

Sammenfattende har den en "syv antis"-funktion, det vil sige, når der findes følgende sikkerhedsanalyseværktøjer eller -processer, vil den automatisk afslutte for at forhindre, at den bliver analyseret af sandkassemiljøet eller sikkerhedspersonalet.

Den første anti: anti-sandkasse

Anti-sandkassefiler:

Den anden anti: anti-fejlfinding

Anti-debug-filer:

Den tredje anti: anti-adfærdsovervågning

Anti-adfærdsovervågningsfiler:

Den fjerde anti: anti-netværksovervågning

Anti-netværksovervågningsfiler:

Femte antitese: opløsning

Demonteringsdokumenter:

Sjette anti: anti-dokumentanalyse

Anti-fil-analysefiler:

Syvende anti: anti-sikkerhedsanalyse

Anti-sikkerhedsanalysesoftware:

Udbredt drab

For at maksimere profitten udfører EnMiner Mining "PentaKill"-operationen.

Det første drab: dræb servicen

Dræb alle serviceprocesser, der kommer i vejen (alle dræberoperationer udføres i Killer-modulet).

Andet drab: Dræbsplan-mission

Alle slags planlagte opgaver, spild af systemressourcer (CPU-ressourcer, som minedrift er mest bekymret for), vil blive dræbt.

Det tredje drab: dræb virusset

EnMiner har antivirus. Er det for at gøre gode gerninger?

Selvfølgelig ikke, ligesom WannaCry 2.0 vil WannaCry 2.1 forårsage blå skærme, afpresning og vil helt sikkert påvirke EnMiner-minedrift, og de vil blive dræbt.

Et andet eksempel er BillGates DDoS-virussen, som har DDoS-funktion, hvilket helt sikkert vil påvirke EnMiner-mining, og det hele vil blive dræbt.

Fjerde drab: dræb dine jævnaldrende

Jævnaldrende er fjender, én maskine må ikke mine to miner, og EnMiner tillader ikke, at andre overtager forretningen med at "mine" med den. Alle slags mine-vira på markedet, mød én og dræb én.

For at sikre, at peers er helt døde, bliver yderligere processer dræbt gennem porte (almindeligt anvendte porte til mining).

Det femte drab: selvmord

Som nævnt tidligere, når EnMiner opdager, at der findes relevante sikkerhedsanalyseværktøjer, vil det trække sig, det vil sige dragten, hvilket er den maksimale modstand mod analyse.

Læg dig ned og mine

EnMiner Miner, som har udført operationen "syv anti-fem drab", har ingen konkurrenter og miner stort set liggende. Derudover kan miningvirionen lsass.eXe regenereres fra WMI via Base64-dekodning. Det betyder, at hvis du kun dræber lsass.eXe, vil WMI regenerere hver 1. time, og du kan mine liggende.

Indtil nu har virusset udvundet Monero, og virusset er i de tidlige faser af udbruddet, og Sangfor minder brugerne om at styrke forebyggelsen.

opløsning

1. Isolér den inficerede vært: Isolér den inficerede computer så hurtigt som muligt, luk alle netværksforbindelser og deaktiver netværkskortet.

2. Bekræft antallet af infektioner: Det anbefales at bruge Sangfors next-generation firewall eller sikkerhedsbevidsthedsplatform til netværksdækkende bekræftelse.

3. Slet WMI-undtagelsesopstartselementer:

Brug Autoruns-værktøjet (downloadlinket er:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), find den unormale WMI-opstart og slet den.

4. Tjek og dræb vira

5. Patch sårbarheder: Hvis der er sårbarheder i systemet, skal de rettes i tide for at undgå at blive udnyttet af virus.

6. Skift adgangskode: Hvis værtskontoens adgangskode er svag, anbefales det at nulstille den højstyrke-adgangskode for at undgå brug af blasting.