|
Récemment, Sangfor a découvert un nouveau type de virus minier avec un comportement de confrontation viral à haute intensité, et son mécanisme viral est très différent de celui de l’exploitation minière conventionnelle. À l’heure actuelle, le virus en est aux premiers stades de l’épidémie, et Sangfor a nommé le virus EnMiner minier, continuant de suivre son développement et de formuler des contre-mesures détaillées.
Ce virus EnMiner est le virus mineur le plus « meurtrier » rencontré à ce jour, et possède un comportement de confrontation viral à haute intensité, que l’on peut appeler « sept anti-cinq kills ». Il peut lutter contre le bac à sable, l’anti-débogage, la surveillance anti-comportement, la surveillance anti-réseau, le démontage, l’analyse anti-fichiers, l’analyse anti-sécurité et la suppression simultanée de services, la planification des tâches, les anti-virus, le minage similaire, et même le suicide au plus haut degré d’analyse de résistance !
Analyse virale Scénario d’attaque L’attaque du virus EnMiner peut être qualifiée de préparée, et elle a suffi à tuer les dissidents et à combattre l’analyse.
Comme montré sur la figure ci-dessus, lsass.eXe est un virion de minage (dans le répertoire C :\Windows\temp) et est responsable des fonctions de minage. Les scripts Powershell sont chiffrés en base64 et existent en WMI, avec trois modules : Main, Killer et StartMiner. Le module principal est responsable du démarrage, le Killer est responsable de la coupure du service et du processus, et le StartMiner est responsable du démarrage du minage. Les détails sont les suivants :
Premièrement, s’il y a un élément WMI anormal, PowerShell sera lancé à un moment programmé, et il sera automatiquement déclenché une fois toutes les 1 heure selon la déclaration WQL.
Déterminez si le fichier lsass.eXe existe, et sinon, il lira WMI
root\cimv2 : PowerShell_Command la propriété EnMiner dans la classe et Base64 décodant et écrivant sur lsass.eXe.
Une fois tous les processus exécutés, le minage commence.
Confrontation avancée En plus des fonctions de minage, le virus mineur lsass.eXe lui-même présente également un comportement adversaire avancé, c’est-à-dire qu’il fait tout son possible pour empêcher les logiciels de sécurité ou le personnel de sécurité de l’analyser.
lsass.eXe crée un fil de discussion avec des opérations adverses fortes comme ceci :
Parcourez le processus et constatez qu’il existe un processus connexe (par exemple, le processus bac à sable SbieSvc.exe découvert) et terminez lui-même :
Le code de désassemblage correspondant est le suivant :
En résumé, il dispose d’une opération « sept antis », c’est-à-dire que lorsqu’il existe les outils ou processus d’analyse de sécurité suivants, il se retire automatiquement pour empêcher son analyse par l’environnement bac à sable ou le personnel de sécurité.
Le premier anti-bac à sable : anti-sandbox
Fichiers anti-bac à sable : SbieSvc.exe SbieCtrl.exe, JoeBoxControl.exe JoeBoxServer.exe Le deuxième anti-débogage : l’anti-débogage
Fichiers anti-débogage : WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe, x64dbg.exe, win32_remote.exe, win64_remote64.exe Le troisième anti-surveillance : la surveillance anti-comportement
Fichiers de surveillance anti-comportement : RegMon.exe, RegShot.exe, FileMon.exe, ProcMon.exe, AutoRuns.exe, AutoRuns64.exe, taskmgr.exe, PerfMon.exe, ProcExp.exe, ProExp64.exe,
ProcessHacker.exe sysAnalyzer.exe,
Proc_Analyzer.exe Proc_Watch.exe,
Sniff_Hit.exe Le quatrième anti-surveillance : anti-réseau
Fichiers de surveillance anti-réseau : Wireshark.exe, DumpCap.exe, TShark.exe, APorts.exe, TcpView.exe Cinquième antithèse : le démontage
Documents de démontage : IDAG.exe, IDAG64.exe, IDAQ.exe, IDAQ64.exe Sixième contre : analyse anti-document
Fichiers d’analyse anti-fichiers : PEiD.exe, WinHex.exe, LordPE.exe, PEditor.exe, Stud_PE.exe, ImportREC.exe Septième analyse anti-sécurité
Logiciels d’analyse anti-sécurité : HRSword.exe,
HipsDaemon.exe ZhuDongFangYu.exe,
QQPCRTP.exe PCHunter32.exe,
PCHunter64.exe Tueries généralisées Pour maximiser les profits, EnMiner Mining exécute l’opération « PentaKill ».
Le premier kill : tuer le service
Coupez tous les processus de service qui gênent (toutes les opérations de destruction sont effectuées dans le module Killer).
Deuxième élimination : mission de plan de tuée
Toutes sortes de tâches planifiées, gaspillant des ressources système (les ressources CPU qui préoccupent le plus le minage), seront tuées.
La troisième élimination : tuer le virus
EnMiner a un antivirus. Est-ce pour accomplir de bonnes actions ?
Bien sûr que non, comme WannaCry 2.0, WannaCry 2.1 provoquera des écrans bleus, du chantage, et affectera forcément le minage EnMiner, et ils seront tués.
Un autre exemple est le virus DDoS BillGates, qui a une fonction DDoS, qui affectera certainement le minage EnMiner, et tout sera tué.
Quatrième élimination : tuez vos pairs
Les pairs sont des ennemis, une seule machine n’a pas le droit de miner deux mines, et EnMiner n’autorise pas d’autres à s’emparer de l’activité de « minage » avec elle. Toutes sortes de virus miniers sur le marché, rencontrez-en un et tuez-en un.
Pour s’assurer que les pairs sont complètement morts, des processus supplémentaires sont supprimés via des ports (ports couramment utilisés pour le minage).
Le cinquième meurtre : le suicide
Comme mentionné précédemment, lorsqu’EnMiner découvre l’existence d’outils d’analyse de sécurité pertinents, il se retire, c’est-à-dire le suit, qui est la résistance maximale à l’analyse.
Allonge-toi et m’en va EnMiner Miner, qui a mené l’opération « sept anti-cinq kills », n’a aucun concurrent et mine en gros à l’abandon. De plus, le virion mineur lsass.eXe peut être régénéré à partir de WMI via le décodage Base64. Cela signifie que si vous ne tuez que lsass.eXe, WMI se régénère toutes les 1 heure et vous pouvez miner allongé.
Jusqu’à présent, le virus a exploité le Monero, et il en est actuellement aux premiers stades de l’épidémie, et Sangfor rappelle aux utilisateurs de renforcer la prévention.
solution 1. Isoler l’hôte infecté : isoler l’ordinateur infecté dès que possible, fermer toutes les connexions réseau et désactiver la carte réseau.
2. Confirmer le nombre d’infections : Il est recommandé d’utiliser le pare-feu de nouvelle génération ou la plateforme de sensibilisation à la sécurité de Sangfor pour une confirmation à l’échelle du réseau.
3. Supprimer les éléments de démarrage des exceptions WMI :
Utilisez l’outil Autoruns (le lien de téléchargement est :https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), trouve le démarrage anormal de WMI et supprime-le.
4. Contrôler et éliminer les virus
5. Corriger les vulnérabilités : S’il existe des vulnérabilités dans le système, corrigez-les à temps pour éviter d’être exploitées par des virus.
6. Changer le mot de passe : Si le mot de passe du compte hôte est faible, il est recommandé de réinitialiser le mot de passe à haute puissance pour éviter d’être utilisé par le blasting. | 
Publié sur 26/06/2018 09:46:47
|
|
|
|
