|
Kürzlich entdeckte Sangfor eine neue Art von Mining-Virus mit hochintensivem Viruskonfrontationsverhalten, dessen Virusmechanismus sich stark vom konventionellen Bergbau unterscheidet. Derzeit befindet sich das Virus in den frühen Stadien des Ausbruchs, und Sangfor hat das Virus EnMiner Mining Virus genannt und wird seine Entwicklung weiterhin verfolgen und detaillierte Gegenmaßnahmen entwickeln.
Dieses EnMiner-Virus ist das bisher "mörderischste" Bergbauvirus und zeigt ein hochintensives Viruskonfrontationsverhalten, das als "sieben Anti-Fünf-Tötungen" bezeichnet werden kann. Es kann gegen Sandbox, Anti-Debugging, Anti-Verhaltensüberwachung, Anti-Netzwerküberwachung, Demontage, Anti-Dateianalyse, Anti-Sicherheitsanalyse und gleichzeitiges Abschalten von Diensten, Planungsaufgaben, Antiviren, ähnliches Mining und sogar Selbstmord im höchsten Maße im Widerstandsanalyseverhalten bewirken!
Virusanalyse Angriffsszenario Der Angriff des EnMiner-Virus kann als vorbereitet beschrieben werden, und er hat genug getan, um Dissidenten zu töten und Analysen zu bekämpfen.
Wie in der obigen Abbildung gezeigt, ist lsass.eXe ein Mining-Virion (im C:\Windows\temp-Verzeichnis) und verantwortlich für Mining-Funktionen. Powershell-Skripte sind base64-verschlüsselt und existieren in WMI, mit drei Modulen: Main, Killer und StartMiner. Das Hauptmodul ist für den Start verantwortlich, der Killer ist dafür verantwortlich, den Service und den Prozess zu beenden, und der StartMiner ist für das Starten des Minings verantwortlich. Die Details sind wie folgt:
Erstens, wenn es einen ungewöhnlichen WMI-Eintrag gibt, wird PowerShell zu einer festgelegten Zeit gestartet und wird laut WQL-Anweisung automatisch alle 1 Stunde ausgelöst.
Bestimmen Sie, ob die lsass.eXe-Datei existiert, und falls nicht, liest sie WMI
root\cimv2: PowerShell_Command die EnMiner-Eigenschaft in der Klasse und Base64 dekodiert und auf lsass.eXe schreibt.
Sobald alle Prozesse ausgeführt sind, beginnt das Mining.
Vorgeschobene Konfrontation Neben Mining-Funktionen weist der Mining-Virus lsass.eXe selbst auch ein fortgeschrittenes Adversarial-Verhalten auf, das heißt, er tut alles, um Sicherheitssoftware oder Sicherheitspersonal daran zu hindern, ihn zu analysieren.
lsass.eXe erstellt einen Thread mit starken adversarialen Operationen wie diese:
Iterieren Sie den Prozess und finden Sie heraus, dass es einen verwandten Prozess gibt (z. B. den Sandbox-Prozess SbieSvc.exe entdeckt) und beenden Sie sich selbst:
Der entsprechende Disassemblierungscode ist wie folgt:
Zusammenfassend hat es eine "sieben Antis"-Operation, das heißt, wenn es folgende Sicherheitsanalyse-Tools oder -prozesse gibt, verlässt es automatisch, um zu verhindern, dass es von der Sandbox-Umgebung oder dem Sicherheitspersonal analysiert wird.
Der erste Anti: Anti-Sandkasten-Modus
Anti-Sandbox-Dateien: SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe Das zweite Anti: Anti-Debugging
Anti-Debug-Dateien: WinDbg.exe, OllyDBG.exe, OllyICE.exe, Immunität De
bugger.exe,
x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe Der dritte Anti: Anti-Verhaltensüberwachung
Anti-Verhaltensüberwachungsdateien: RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe Der vierte Anti: Anti-Netzwerküberwachung
Anti-Netzwerk-Überwachungsdateien: Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe Fünfte Antithese: Auflösung
Demontagedokumente: IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe Sechstes Anti: Anti-Dokumenten-Analyse
Anti-Dateianalyse-Dateien: PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe Siebtes Anti: Anti-Sicherheitsanalyse
Anti-Sicherheitsanalyse-Software: HRSword.exe,
HipsDaemon.exe,ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe Weitverbreitete Tötung Um die Gewinne zu maximieren, führt EnMiner Mining die "PentaKill"-Operation durch.
Der erste Kill: Den Service töten
Kille alle Serviceprozesse, die im Weg stehen (alle Killing-Operationen werden im Killer-Modul durchgeführt).
Zweiter Kill: Kill-Plan-Mission
Alle möglichen geplanten Aufgaben, Verschwendung von Systemressourcen (CPU-Ressourcen, um die sich der Mining am meisten sorgt) werden gestoppt.
Der dritte Kill: das Virus töten
EnMiner hat Antivirus. Geht es darum, gute Taten zu tun?
Natürlich nicht, wie bei WannaCry 2.0 wird WannaCry 2.1 Bluescreens, Erpressung verursachen und definitiv das EnMiner-Mining beeinflussen, und sie werden vernichtet.
Ein weiteres Beispiel ist der BillGates DDoS-Virus, der eine DDoS-Funktion hat, die definitiv das EnMiner-Mining beeinflussen wird, und alles wird beseitigt.
Vierter Kill: Töte deine Kameraden
Peers sind Feinde, eine Maschine darf nicht zwei Minen abbauen, und EnMiner erlaubt nicht, dass andere das Geschäft des "Bergbaus" mit ihr übernehmen. Alle Arten von Mining-Viren auf dem Markt, man trifft auf einen und tötet einen.
Um sicherzustellen, dass Peers vollständig tot sind, werden zusätzliche Prozesse über Ports (häufig genutzte Ports für Mining) abgeschaltet.
Der fünfte Mord: Selbstmord
Wie bereits erwähnt, zieht EnMiner sich zurück, wenn es relevante Sicherheitsanalysetools gibt, das heißt Suit, was den maximalen Widerstand gegen Analyse darstellt.
Leg dich hin und meine EnMiner Miner, das die "sieben Anti-Fünf-Kills"-Operation durchgeführt hat, hat keine Konkurrenten und Minen im Grunde liegend. Zusätzlich kann das Mining-Virion lsass.eXe aus WMI mittels Base64-Dekodierung regeneriert werden. Das bedeutet, wenn du nur lsass.eXe tötest, regeneriert sich WMI alle 1 Stunde und du kannst liegend minen.
Bis jetzt hat das Virus Monero abgebaut, und das Virus befindet sich derzeit in den frühen Stadien des Ausbruchs; Sangfor erinnert die Nutzer daran, die Prävention zu verstärken.
Lösung 1. Isoliere den infizierten Host: Isoliere den infizierten Computer so schnell wie möglich, schließe alle Netzwerkverbindungen und deaktiviere die Netzwerkkarte.
2. Bestätigen Sie die Anzahl der Infektionen: Es wird empfohlen, die Next-Generation-Firewall oder Sicherheitsplattform von Sangfor zur netzwerkweiten Bestätigung zu nutzen.
3. Lösche der WMI-Ausnahme-Starteinträge:
Nutzen Sie das Autoruns-Tool (Download-Link ist:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), finde den abnormalen WMI-Start und lösche ihn.
4. Viren überprüfen und abtöten
5. Lücken beheben: Wenn es Schwachstellen im System gibt, beheben Sie diese rechtzeitig, um eine Ausnutzung durch Viren zu vermeiden.
6. Passwort ändern: Wenn das Passwort des Host-Kontos schwach ist, wird empfohlen, das hochstarke Passwort zurückzusetzen, um zu vermeiden, dass es durch Blasting verwendet wird. | 
Veröffentlicht am 26.06.2018 09:46:47
|
|
|
|
