[Virusanalyysi] Korkean energian varoitus! Ole varovainen EnMiner-louhinnan suhteen

Äskettäin Sangfor löysi uudenlaisen kaivosviruksen, jolla on korkean intensiteetin viruskohtaamiskäyttäytyminen, ja sen virusmekanismi poikkeaa merkittävästi perinteisestä kaivostoiminnasta. Tällä hetkellä virus on epidemian alkuvaiheessa, ja Sangfor on nimennyt viruksen EnMiner-kaivosvirukseksi ja jatkaa sen kehityksen seuraamista sekä yksityiskohtaisten vastatoimien laatimista.

Tämä EnMiner-virus on tähän mennessä kohdatuin "murhanhimoisin" kaivosvirus, ja sillä on korkean intensiteetin viruskohtaamiskäyttäytyminen, jota voidaan kutsua "seitsemäksi anti-viisi tappoa". Se voi tehdä hiekkalaatikon, virheenkorjauksen, käyttäytymisen valvonnan, verkon valvonnan, purkamisen, tiedostoanalyysin, tietoturva-analyysin ja palveluiden samanaikaisen tuhon, suunnittelutehtävien, virusten, vastaavan kaivostoiminnan ja jopa itsemurhien suurimman osan resistanssianalyysikäyttäytymisestä!     

Virusanalyysi

Hyökkäysskenaario

EnMiner-virushyökkäystä voi kuvailla valmistelluksi, ja se on tehnyt tarpeeksi tappaakseen toisinajattelijoita ja taistellen analyysiä vastaan.

Kuten yllä olevassa kuvassa näkyy, lsass.eXe on louhintavirion (C:\Windows\temp-hakemistossa) ja vastaa louhintafunktioista. Powershell-skriptit ovat base64-salattuja ja toimivat WMI:ssä, ja niissä on kolme moduulia: Main, Killer ja StartMiner. Päämoduuli vastaa käynnistämisestä, tappaja palvelun ja prosessin lopettamisesta, ja StartMiner on vastuussa louhinnan käynnistämisestä. Yksityiskohdat ovat seuraavat:

Ensinnäkin, jos WMI:ssä on epänormaali kohde, PowerShell käynnistetään sovittuna ajankohtana, ja se käynnistyy automaattisesti kerran tunnin välein WQL-lauseen mukaan.

Selvitä, onko lsass.eXe-tiedosto olemassa, ja jos ei, se lukee WMI:n

root\cimv2: PowerShell_Command EnMiner-ominaisuus luokassa ja Base64 purkaa ja kirjoittaa lsass.eXe:hen.

Kun kaikki prosessit on suoritettu, louhinta alkaa.

Edistynyt vastakkainasettelu

Louhintatoimintojen lisäksi louhintavirus lsass.eXe:llä itsessään on myös kehittynyttä vastakkainasettelua, eli se tekee kaikkensa estääkseen tietoturvaohjelmistoja tai turvahenkilöstöä analysoimasta sitä.

lsass.eXe luo säikeen, jossa on vahvoja vastakkainasetteluoperaatioita kuten tämä:

Käy prosessi läpi ja löydä, että siihen liittyy prosessi (esim. hiekkalaatikkoprosessi SbieSvc.exe löydetty) ja päätyy itseensä:

Vastaava purkukoodi on seuraava:

Yhteenvetona voidaan todeta, että sillä on "seitsemän antis" -toiminto, eli kun käytössä on seuraavat tietoturva-analyysityökalut tai -prosessit, se poistuu automaattisesti estääkseen hiekkalaatikkoympäristön tai tietoturvahenkilöstön analysoinnin.

Ensimmäinen anti: anti-hiekkalaatikko

Hiekkalaatikkotiedostot:

Toinen anti: debuggauksen estäminen

Virheenpoistotiedostot:

Kolmas anti-käyttäytymisen seuranta

Antikäyttäytymisen valvontatiedostot:

Neljäs anti-verkkovalvonta

Verkkovalvontatiedostot:

Viides vastakohta: purkaminen

Purkudokumentit:

Kuudes anti-asiakirja-analyysi

Anti-file -analyysitiedostot:

Seitsemäs anti-turvallisuusanalyysi

Turvallisuusanalyysiohjelmisto:

Laajamittainen surma

Voittojen maksimoimiseksi EnMiner Mining toteuttaa "PentaKill"-operaation.

Ensimmäinen tappo: tapa palvelu

Poista kaikki palveluprosessit, jotka tulevat tielle (kaikki tappotoiminnot suoritetaan Killer-moduulissa).

Toinen tappo: Tapposuunnitelmatehtävä

Kaikenlaiset suunnitellut tehtävät, jotka tuhlaavat järjestelmän resursseja (CPU-resursseja, joista louhinta on eniten), kuolevat.

Kolmas tappo: tappaa virus

EnMinerissä on virustorjunta. Onko se hyvien tekojen tekemistä?

Tietenkään ei, kuten WannaCry 2.0, WannaCry 2.1 aiheuttaa sinisiä ruutuja, kiristystä ja vaikuttaa varmasti EnMinerin louhintaan, ja heidät tapetaan.

Toinen esimerkki on BillGatesin DDoS-virus, jolla on DDoS-toiminto, joka varmasti vaikuttaa EnMiner-louhintaan ja kaikki tuhoutuu.

Neljäs tappo: tapa vertaiset

Vertaiset ovat vihollisia, yksi kone ei saa louhia kahta kaivosta, eikä EnMiner salli muiden tarttua "louhintaan" sen avulla. Kaikenlaisia kaivosviruksia markkinoilla, kohtaa yksi ja tapa yksi.

Jotta vertaiset olisivat täysin kuolleita, lisäprosesseja tapetaan porttien kautta (yleisesti käytetyt louhintaportit).

Viides tappo: itsemurha

Kuten aiemmin mainittiin, kun EnMiner huomaa, että on olemassa relevantteja tietoturva-analyysityökaluja, se vetäytyy eli Suitista, mikä on suurin vastustuskyky analyysille.

Makaa alas ja minä

EnMiner Miner, joka on toteuttanut "seitsemän anti-viiden tappoa" -operaation, ei ole kilpailijoita ja käytännössä miinat ovat makuulla. Lisäksi louhintavirion lsass.eXe voidaan regeneroida WMI:stä Base64-dekoodauksen avulla. Tämä tarkoittaa, että jos tapat vain lsass.eXe:n, WMI uusiutuu tunnin välein ja voit kaivaa maatessasi.

Tähän asti virus on louhinut Moneroa, ja virus on epidemian alkuvaiheessa, ja Sangfor muistuttaa käyttäjiä vahvistamaan ennaltaehkäisyä.

ratkaisu

1. Eristä tartunnan saanut isäntä: Eristä tartunnan saanut tietokone mahdollisimman pian, sulje kaikki verkkoyhteydet ja poista verkkokortti käytöstä.

2. Vahvista tartuntojen määrä: Suositellaan käyttämään Sangforin seuraavan sukupolven palomuuria tai tietoturvatietoisuusalustaa verkon kattavaan vahvistukseen.

3. Poista WMI-poikkeusaloituskohteet:

Käytä Autoruns-työkalua (latauslinkki on:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), löydä epänormaali WMI-käynnistys ja poista se.

4. Tarkista ja tapa virukset

5. Korjaushaavoittuvuudet: Jos järjestelmässä on haavoittuvuuksia, korjaa ne ajoissa, jotta virusten hyväksikäyttö välttyy.

6. Vaihda salasana: Jos isäntätilin salasana on heikko, suositellaan nollaamaan korkean vahvan salasanan, jotta räjähdys ei tapahtuisi.