|
Recientemente, Sangfor descubrió un nuevo tipo de virus minero con comportamiento de confrontación viral de alta intensidad, y su mecanismo viral es muy diferente al de la minería convencional. Actualmente, el virus se encuentra en las primeras fases del brote, y Sangfor ha nombrado al virus EnMiner mining virus, continuando su desarrollo y formulando contramedidas detalladas.
Este virus EnMiner es el virus de minería más "mortal" encontrado hasta ahora, y tiene un comportamiento de confrontación viral de alta intensidad, que puede llamarse "siete anti-cinco muertes". Puede hacer anti-sandbox, anti-depuración, anti-monitorización de comportamiento, anti-monitoreo de red, desensamblaje, anti-análisis de archivos, análisis anti-seguridad y la eliminación simultánea de servicios, tareas de planificación, antivirus, minería similar e incluso suicidio en la mayor medida de comportamiento de análisis de resistencias.
Análisis de virus Escenario de ataque El ataque del virus EnMiner puede describirse como preparado, y ha hecho lo suficiente para eliminar disidentes y combatir el análisis.
Como se muestra en la figura anterior, lsass.eXe es un virión de minería (en el directorio C:\Windows\temp) y es responsable de las funciones de minería. Los scripts Powershell están cifrados en base 64 y existen en WMI, con tres módulos: Main, Killer y StartMiner. El módulo principal es responsable de iniciar, el Killer es responsable de matar el servicio y el proceso, y el StartMiner es responsable de iniciar la minería. Los detalles son los siguientes:
Primero, si hay un elemento anormal de WMI, PowerShell se iniciará a una hora programada y se activará automáticamente cada 1 hora según la declaración WQL.
Determina si el archivo lsass.eXe existe, y si no, leerá WMI
root\cimv2: PowerShell_Command la propiedad EnMiner en la clase y Base64 decodificando y escribiendo en lsass.eXe.
Una vez ejecutados todos los procesos, comienza la minería.
Confrontación avanzada Además de las funciones de minería, el virus minero lsass.eXe también tiene un comportamiento adversarial avanzado, es decir, hace todo lo posible para impedir que el software de seguridad o el personal de seguridad lo analice.
lsass.eXe crea un hilo con operaciones adversariales fuertes como este:
Iterar a través del proceso y descubrir que existe un proceso relacionado (por ejemplo, el proceso sandbox SbieSvc.exe descubierto) y terminar solo:
El código de desensamblaje correspondiente es el siguiente:
En resumen, tiene una operación de "siete antis", es decir, cuando existen las siguientes herramientas o procesos de análisis de seguridad, se sale automáticamente para evitar que el entorno sandbox o el personal de seguridad lo analizen.
El primer anti-sandbox
Archivos anti-sandbox: SbieSvc.exe, SbieCtrl.exe, JoeBoxControl.exe, JoeBoxServer.exe El segundo anti: anti-depuración
Archivos anti-depuración: WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe, x64dbg.exe, win32_remote.exe, win64_remote64.exe El tercer contra: el monitoreo anticonductual
Archivos de monitorización anticonducta: RegMon.exe, RegShot.exe, FileMon.exe, ProcMon.exe, AutoRuns.exe, AutoRuns64.exe, taskmgr.exe, PerfMon.exe, ProcExp.exe, ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe El cuarto anti: anti-vigilancia de red
Archivos de monitorización anti-red: Wireshark.exe, DumpCap.exe, TShark.exe, APorts.exe, TcpView.exe Quinta antítesis: desmontaje
Documentos de desmontaje: IDAG.exe, IDAG64.exe, IDAQ.exe, IDAQ64.exe Sexto anti: análisis antidocumento
Archivos de análisis anti-archivo: PEiD.exe, WinHex.exe, LordPE.exe, PEditor.exe, Stud_PE.exe, ImportREC.exe Séptimo anti: análisis anti-seguridad
Software de análisis anti-seguridad: HRSword.exe,
HipsDaemon.exe.ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe Asesinatos generalizados Para maximizar beneficios, EnMiner Mining ejecuta la operación "PentaKill".
La primera eliminación: matar al servicio
Elimina todos los procesos de servicio que se interpongan (todas las operaciones de eliminación se realizan en el módulo Killer).
Segunda muerte: misión del plan de eliminación
Todo tipo de tareas planificadas, desperdiciando recursos del sistema (recursos de CPU que más preocupan a la minería), se destruirán.
La tercera eliminación: acabar con el virus
EnMiner tiene antivirus. ¿Es para hacer buenas acciones?
Por supuesto que no, como WannaCry 2.0, WannaCry 2.1 causará pantallas azules, chantaje y definitivamente afectará a la minería de EnMiner, y serán eliminados.
Otro ejemplo es el virus DDoS BillGates, que tiene función DDoS, la cual definitivamente afectará a la minería EnMiner y todo será eliminado.
Cuarta muerte: mata a tus compañeros
Los compañeros son enemigos, una máquina no puede extraer dos minas, y EnMiner no permite que otros se apropien del negocio de "minería" con ella. Todo tipo de virus mineros en el mercado, se encuentra con uno y se mata uno.
Para asegurar que los pares estén completamente muertos, se eliminan procesos adicionales a través de puertos (puertos comúnmente usados para minería).
La quinta muerte: suicidio
Como se mencionó antes, cuando EnMiner descubre que existen herramientas relevantes de análisis de seguridad, se retirará, es decir, demandará, que es la máxima resistencia al análisis.
Túmbate y mío EnMiner Miner, que ha llevado a cabo la operación "siete enemigos anti-cinco", no tiene competidores y básicamente mina de brazos cruzados. Además, el virión de minería lsass.eXe puede regenerarse a partir de WMI mediante decodificación Base64. Esto significa que si solo matas lsass.eXe, WMI se regenerará cada 1 hora y puedes minar tumbado.
Hasta ahora, el virus ha extraído Monero, y actualmente se encuentra en las primeras fases del brote, y Sangfor recuerda a los usuarios que refuercen la prevención.
solución 1. Aislar el host infectado: Aislar el ordenador infectado lo antes posible, cerrar todas las conexiones de red y desactivar la tarjeta de red.
2. Confirmar el número de infecciones: Se recomienda utilizar el cortafuegos de próxima generación o la plataforma de sensibilización de seguridad de Sangfor para la confirmación a nivel de red.
3. Eliminar elementos de inicio de excepciones de WMI:
Usa la herramienta Autoruns (el enlace de descarga es:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), encuentra el arranque anormal de WMI y elimínala.
4. Comprobar y eliminar virus
5. Parchear vulnerabilidades: Si hay vulnerabilidades en el sistema, parchea a tiempo para evitar que los virus las exploten.
6. Cambiar la contraseña: Si la contraseña de la cuenta del anfitrión es débil, se recomienda restablecer la contraseña de alta potencia para evitar ser utilizada por disparos. | 
Publicado en 26/6/2018 9:46:47
|
|
|
|
