|
Πρόσφατα, η Sangfor ανακάλυψε έναν νέο τύπο ιού εξόρυξης με συμπεριφορά αντιμετώπισης ιών υψηλής έντασης και ο μηχανισμός του ιού είναι πολύ διαφορετικός από αυτόν της συμβατικής εξόρυξης. Προς το παρόν, ο ιός βρίσκεται στα αρχικά στάδια της επιδημίας και η Sangfor ονόμασε τον ιό EnMiner mining virus και θα συνεχίσει να παρακολουθεί την ανάπτυξή του και να διαμορφώνει λεπτομερή αντίμετρα.
Αυτός ο ιός EnMiner είναι ο πιο «δολοφονικός» ιός εξόρυξης που έχει συναντήσει μέχρι στιγμής και έχει συμπεριφορά αντιμετώπισης ιών υψηλής έντασης, η οποία μπορεί να ονομαστεί «επτά αντι-πέντε σκοτώσεις». Μπορεί να κάνει anti-sandbox, anti-debugging, anti-behavior monitoring, anti-network monitoring, disassembly, anti-file analysis, anti-security analysis και ταυτόχρονη θανάτωση υπηρεσιών, εργασίες σχεδιασμού, anti-virus, παρόμοια εξόρυξη, ακόμη και αυτοκτονία στο μέγιστο βαθμό συμπεριφοράς ανάλυσης αντίστασης!
Ανάλυση ιών Σενάριο επίθεσης Η επίθεση του ιού EnMiner μπορεί να περιγραφεί ως προετοιμασμένη και έχει κάνει αρκετά για να σκοτώσει αντιφρονούντες και να καταπολεμήσει την ανάλυση.
Όπως φαίνεται στο παραπάνω σχήμα, το lsass.eXe είναι ένα virion εξόρυξης (στον κατάλογο C:\Windows\temp) και είναι υπεύθυνο για τις λειτουργίες εξόρυξης. Τα σενάρια Powershell είναι κρυπτογραφημένα base64 και υπάρχουν στο WMI, με τρεις ενότητες: Main, Killer και StartMiner. Η κύρια μονάδα είναι υπεύθυνη για την εκκίνηση, ο Killer είναι υπεύθυνος για τη θανάτωση της υπηρεσίας και της διαδικασίας και ο StartMiner είναι υπεύθυνος για την έναρξη της εξόρυξης. Οι λεπτομέρειες έχουν ως εξής:
Πρώτον, εάν υπάρχει ένα μη φυσιολογικό στοιχείο WMI, το PowerShell θα ξεκινήσει σε προγραμματισμένη ώρα και θα ενεργοποιείται αυτόματα μία φορά κάθε 1 ώρα σύμφωνα με τη δήλωση WQL.
Προσδιορίστε εάν υπάρχει το αρχείο lsass.eXe και, εάν όχι, θα διαβάσει το WMI
root\cimv2: PowerShell_Command την ιδιότητα EnMiner στην κλάση και το Base64 αποκωδικοποιεί και γράφει στο lsass.eXe.
Μόλις εκτελεστούν όλες οι διαδικασίες, ξεκινά η εξόρυξη.
Προχωρημένη αντιπαράθεση Εκτός από τις λειτουργίες εξόρυξης, ο ίδιος ο ιός εξόρυξης lsass.eXe έχει επίσης προηγμένη αντίπαλη συμπεριφορά, δηλαδή κάνει ό,τι είναι δυνατό για να αποτρέψει την ανάλυση του λογισμικού ασφαλείας ή του προσωπικού ασφαλείας.
Το lsass.eXe δημιουργεί ένα νήμα με ισχυρές αντίπαλες λειτουργίες όπως αυτό:
Επαναλάβετε τη διαδικασία και βρείτε ότι υπάρχει μια σχετική διαδικασία (π.χ. η διαδικασία sandbox SbieSvc.exe ανακαλυφθεί) και τελειώστε τον εαυτό της:
Ο αντίστοιχος κωδικός αποσυναρμολόγησης είναι ο εξής:
Συνοπτικά, έχει μια λειτουργία "επτά αντί", δηλαδή, όταν υπάρχουν τα ακόλουθα εργαλεία ή διαδικασίες ανάλυσης ασφαλείας, θα βγει αυτόματα για να αποτρέψει την ανάλυσή του από το περιβάλλον sandbox ή το προσωπικό ασφαλείας.
Το πρώτο anti: anti-sandbox
Αρχεία Anti-sandbox: SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe Το δεύτερο αντί: anti-debugging
Αρχεία κατά του εντοπισμού σφαλμάτων: WinDbg.exe,OllyDBG.exe,OllyICE.exe,ΑνοσίαDe
bugger.exe,
x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe Το τρίτο αντί: παρακολούθηση κατά της συμπεριφοράς
Αρχεία παρακολούθησης κατά της συμπεριφοράς: RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe Το τέταρτο αντι-δικτυακή επιτήρηση
Αρχεία παρακολούθησης κατά δικτύου: Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe Πέμπτη αντίθεση: αποσυναρμολόγηση
Έγγραφα αποσυναρμολόγησης: IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe Έκτο αντί: ανάλυση κατά εγγράφων
Αρχεία ανάλυσης Anti-file: PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe Έβδομο αντί: ανάλυση κατά της ασφάλειας
Λογισμικό ανάλυσης κατά της ασφάλειας: HRSword.exe,
HipsDaemon.exe,ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe Εκτεταμένες δολοφονίες Προκειμένου να μεγιστοποιηθούν τα κέρδη, η EnMiner Mining εκτελεί τη λειτουργία "PentaKill".
Ο πρώτος σκοτωμός: σκοτώστε την υπηρεσία
Σκοτώστε όλες τις διεργασίες σέρβις που παρεμποδίζουν (όλες οι λειτουργίες θανάτωσης εκτελούνται στη μονάδα Killer).
Δεύτερη εκτέλεση: Αποστολή σχεδίου δολοφονίας
Όλα τα είδη προγραμματισμένων εργασιών, σπατάλη πόρων συστήματος (πόροι CPU για τους οποίους ανησυχεί περισσότερο η εξόρυξη), θα σκοτωθούν.
Ο τρίτος φόνος: σκοτώστε τον ιό
Το EnMiner έχει antivirus. Είναι για να κάνεις καλές πράξεις;
Φυσικά όχι, όπως το WannaCry 2.0, έτσι και το WannaCry 2.1 θα προκαλέσει μπλε οθόνες, εκβιασμούς, και σίγουρα θα επηρεάσει την εξόρυξη του EnMiner, και θα σκοτωθούν.
Ένα άλλο παράδειγμα είναι ο ιός BillGates DDoS, ο οποίος έχει λειτουργία DDoS, η οποία σίγουρα θα επηρεάσει την εξόρυξη EnMiner και όλα θα σκοτωθούν.
Τέταρτος φόνος: σκοτώστε τους συνομηλίκους σας
Οι συνομήλικοι είναι εχθροί, ένα μηχάνημα δεν επιτρέπεται να εξορύξει δύο νάρκες και το EnMiner δεν επιτρέπει σε άλλους να αρπάξουν την επιχείρηση της «εξόρυξης» με αυτό. Όλα τα είδη ιών εξόρυξης στην αγορά, συναντήστε έναν και σκοτώστε έναν.
Προκειμένου να διασφαλιστεί ότι οι ομότιμοι είναι εντελώς νεκροί, πρόσθετες διεργασίες σκοτώνονται μέσω θυρών (θύρες που χρησιμοποιούνται συνήθως για εξόρυξη).
Ο πέμπτος φόνος: αυτοκτονία
Όπως αναφέρθηκε προηγουμένως, όταν το EnMiner ανακαλύψει ότι υπάρχουν σχετικά εργαλεία ανάλυσης ασφαλείας, θα αποσυρθεί, δηλαδή κοστούμι, που είναι η μέγιστη αντίσταση στην ανάλυση.
Ξάπλωσε και το δικό μου Η EnMiner Miner, η οποία έχει πραγματοποιήσει την επιχείρηση «επτά αντι-πέντε δολοφονίες», δεν έχει ανταγωνιστές και βασικά ναρκοθετεί ξαπλωμένη. Επιπλέον, το virion εξόρυξης lsass.eXe μπορεί να αναγεννηθεί από το WMI μέσω αποκωδικοποίησης Base64. Αυτό σημαίνει ότι αν σκοτώσετε μόνο το lsass.eXe, το WMI θα αναγεννάται κάθε 1 ώρα και μπορείτε να κάνετε εξόρυξη ξαπλωμένοι.
Μέχρι τώρα, ο ιός έχει εξορύξει το Monero και ο ιός βρίσκεται επί του παρόντος στα αρχικά στάδια της επιδημίας και η Sangfor υπενθυμίζει στους χρήστες να ενισχύσουν την πρόληψη.
λύση 1. Απομονώστε τον μολυσμένο κεντρικό υπολογιστή: Απομονώστε τον μολυσμένο υπολογιστή το συντομότερο δυνατό, κλείστε όλες τις συνδέσεις δικτύου και απενεργοποιήστε την κάρτα δικτύου.
2. Επιβεβαιώστε τον αριθμό των μολύνσεων: Συνιστάται η χρήση του τείχους προστασίας επόμενης γενιάς ή της πλατφόρμας ευαισθητοποίησης ασφαλείας της Sangfor για επιβεβαίωση σε όλο το δίκτυο.
3. Διαγράψτε τα στοιχεία εκκίνησης εξαίρεσης WMI:
Χρησιμοποιήστε το εργαλείο Autoruns (ο σύνδεσμος λήψης είναι:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), βρείτε την ανώμαλη εκκίνηση WMI και διαγράψτε την.
4. Ελέγξτε και σκοτώστε τους ιούς
5. Επιδιορθώστε τα τρωτά σημεία: Εάν υπάρχουν τρωτά σημεία στο σύστημα, επιδιορθώστε τα εγκαίρως για να αποφύγετε την εκμετάλλευση από ιούς.
6. Αλλαγή κωδικού πρόσβασης: Εάν ο κωδικός πρόσβασης του λογαριασμού κεντρικού υπολογιστή είναι αδύναμος, συνιστάται να επαναφέρετε τον κωδικό πρόσβασης υψηλής ισχύος για να αποφύγετε τη χρήση του με ανατινάξεις. | 
Δημοσιεύτηκε στις 26/6/2018 9:46:47 π.μ.
|
|
|
|
