|
Hiljuti avastas Sangfor uue tüüpi kaevandusviiruse, millel on kõrge intensiivsusega viiruste vastasmõju ning selle viiruse mehhanism erineb oluliselt tavapärasest kaevandamisest. Praegu on viirus puhangu algfaasis ning Sangfor on nimetanud viiruse EnMiner kaevandusviiruseks ning jätkab selle arengu jälgimist ja üksikasjalike vastumeetmete väljatöötamist.
See EnMiner viirus on seni kõige "tapvam" kaevandusviirus ning omab kõrge intensiivsusega viiruse vastasseisu käitumist, mida võib nimetada "seitsmeks anti-viie tapmiseks". See võib anti-liivakasti, silumise, käitumise jälgimise, võrgu jälgimise, lahtivõtmise, failianalüüsi, turvaanalüüsi ja teenuste samaaegse hävitamise, planeerimistööde, viirusetõrje, sarnase kaevandamise ja isegi enesetapu maksimaalse vastupanuanalüüsi käitumise ulatuses!
Viiruse analüüs Rünnaku stsenaarium EnMineri viiruse rünnakut võib kirjeldada kui ettevalmistatud rünnakut, mis on teinud piisavalt, et tappa dissidente ja võidelda analüüsiga.
Nagu ülaltoodud joonisel näidatud, on lsass.eXe kaevandamisvirion (kaustas C:\Windows\temp) ja vastutab kaevandamisfunktsioonide eest. Powershelli skriptid on base64 krüpteeritud ja eksisteerivad WMI-s, koosnedes kolmest moodulist: Main, Killer ja StartMiner. Põhimoodul vastutab käivitamise eest, tapja teenuse ja protsessi lõpetamise eest ning StartMiner kaevandamise alustamise eest. Üksikasjad on järgmised:
Esiteks, kui esineb ebanormaalne WMI üksus, käivitatakse PowerShell kindlal ajal ja see käivitub automaatselt iga tunni tagant vastavalt WQL-i väitele.
Selgita välja, kas lsass.eXe fail eksisteerib, ja kui mitte, siis loeb see WMI
root\cimv2: PowerShell_Command EnMiner omadus klassis ja Base64 dekodeerib ja kirjutab lsass.eXe-sse.
Kui kõik protsessid on täidetud, algab kaevandamine.
Edasijõudnud vastasseis Lisaks kaevandamisfunktsioonidele on kaevandamisviirusel lsass.eXe ka arenenud vastandlik käitumine, st see teeb kõik võimaliku, et takistada turvatarkvara või turvatöötajate analüüsimist.
lsass.eXe loob lõime, millel on tugevad vastandlikud operatsioonid nagu see:
Iteratsioon protsessis ja leia, et on olemas seotud protsess (nt liivakasti protsess SbieSvc.exe avastatud) ning lõpeta ise:
Vastav lahtivõtmise kood on järgmine:
Kokkuvõttes on sellel "seitse antis" operatsiooni ehk kui on järgmised turvaanalüüsi tööriistad või -protsessid, väljub see automaatselt, et takistada liivakasti keskkonna või turvatöötajate analüüsimist.
Esimene anti: anti-liivakast
Anti-liivakastifailid: SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe Teine anti: anti-debuging
Silumisvastased failid: WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe Kolmas anti: anti-käitumise jälgimine
Anti-käitumise jälgimise failid: RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe Neljas anti-võrgu jälgimine
Võrgutõrje jälgimise failid: Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe Viies antitees: lahtivõtmine
Lahtivõtmise dokumendid: IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe Kuues anti: anti-dokumentanalüüs
Anti-failianalüüsi failid: PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe Seitsmes anti-julgeolekuanalüüs
Turvalisuse analüüsi tarkvara: HRSword.exe,
HipsDaemon.exe,ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe Laialdane tapmine Kasumi maksimeerimiseks viib EnMiner Mining läbi "PentaKill" operatsiooni.
Esimene tapmine: hävita teenistus
Lõpeta kõik teenindusprotsessid, mis ette jäävad (kõik tapmistoimingud toimuvad Killer moodulis).
Teine tapmine: tapmisplaan
Kõikvõimalikud planeeritud ülesanded, mis raiskavad süsteemi ressursse (protsessori ressursid, mille pärast kaevandamine kõige rohkem muretseb), tapetakse.
Kolmas tapmine: viiruse tapmine
EnMineril on viirusetõrje. Kas selleks, et teha häid tegusid?
Muidugi mitte, nagu WannaCry 2.0, põhjustab WannaCry 2.1 sinist ekraani, mustmaili ja kindlasti mõjutab EnMineri kaevandamist ning nad tapetakse.
Teine näide on BillGates DDoS viirus, millel on DDoS-funktsioon, mis kindlasti mõjutab EnMineri kaevandamist ja see kõik hävitatakse.
Neljas tapmine: tapa oma kaaslased
Eakaaslased on vaenlased, üks masin ei tohi kaevandada kahte kaevandust ja EnMiner ei lase teistel sellega "kaevandamise" äri haarata. Turul on kõikvõimalikud kaevandusviirused, kohtad üht ja tapad ühe.
Selleks, et tagada eakaaslaste täielik surm, tapetakse täiendavaid protsesse portide kaudu (tavaliselt kasutatavad kaevandamiseks kasutatavad portid).
Viies tapmine: enesetapp
Nagu varem mainitud, kui EnMiner avastab, et on olemas asjakohased turvaanalüüsi tööriistad, loobub ta ehk Suit'ist, mis on maksimaalne vastupanu analüüsile.
Lama maha ja kaeva EnMiner Miner, mis on läbi viinud "seitse anti-viie tapmise" operatsiooni, ei oma konkurente ja kaevandused on põhimõtteliselt niisama. Lisaks saab kaevandamisvirion lsass.eXe WMI-st taastada Base64 dekodeerimise kaudu. See tähendab, et kui tapad ainult lsass.eXe, taastub WMI iga tunni tagant ja saad kaevandada lamades.
Senini on viirus kaevandanud Monerot ning viirus on praegu puhangu algfaasis, ning Sangfor tuletab kasutajatele meelde ennetust tugevdada.
lahus 1. Isoleeri nakatunud host: Isoleeri nakatunud arvuti nii kiiresti kui võimalik, sulge kõik võrguühendused ja keela võrgukaart.
2. Kinnita nakkuste arv: Soovitatav on kasutada Sangfori järgmise põlvkonna tulemüüri või turvateadlikkuse platvormi võrguülese kinnituse jaoks.
3. Kustuta WMI erandite käivitamise elemendid:
Kasuta Autoruns'i tööriista (allalaadimislink on:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), leia ebanormaalne WMI käivitamine ja kustuta see.
4. Kontrolli ja hävita viirused
5. Parandamise haavatavused: Kui süsteemis on haavatavusi, paranda need õigeaegselt, et vältida viiruste ärakasutamist.
6. Parooli vahetamine: Kui hostikonto parool on nõrk, soovitatakse kõrge tugevusega parool lähtestada, et vältida plahvatusohtlikku kasutamist. | 
Postitatud 26.06.2018 09:46:47
|
|
|
|
