[Víruselemzés] Nagy energiájú figyelmeztetés! Légy óvatos az EnMiner bányászattal

Nemrégiben Sangfor felfedezett egy újfajta bányászati vírust, amely magas intenzitású víruskonfrontációs viselkedéssel rendelkezik, és vírusmechanizmusa nagyon eltér a hagyományos bányászattól. Jelenleg a vírus a járvány korai szakaszában van, és a Sangfor EnMiner bányászati vírusnak nevezte el, és továbbra is nyomon követi a fejlődését, valamint részletes ellenintézkedéseket dolgoz ki.

Ez az EnMiner vírus a leg"gyilkosabb" bányászati vírus, amivel eddig találkoztak, és magas intenzitású víruskonfrontációs viselkedéssel rendelkezik, amit "hét anti-öt gyilkosságnak" nevezhetünk. Képes homokbozat-, hibakeresés-ellenőrzés-, viselkedés-ellenőrzés-, hálózati monitorozás-, szétszedés-, fájl-elemzés, biztonsági elemzés, szolgáltatások egyidejű megölése, tervezési feladatok, vírusirtó, hasonló bányászat, sőt akár öngyilkosság is elvégzése a legnagyobb ellenállási elemzési viselkedés mértékében!     

Víruselemzés

Támadási forgatókönyv

Az EnMiner vírus támadást felkészültnek lehet nevezni, és eleget tett a ellenzéki ellenzékek megöléséhez és az elemzés elleni küzdelemhez.

Ahogy a fenti ábrán látható, az lsass.eXe egy bányászati virion (a C:\Windows\temp könyvtárban), és felelős a bányászati funkciókért. A PowerShell szkriptek base64 titkosítottak, és WMI-ben léteznek, három modulból: Main, Killer és StartMiner. A Fő modul felelős a működés elindításáért, a Gyilkos a szolgáltatás és a folyamat megsemmisítéséért, a StartMiner pedig a bányászat elindításáért. A részletek a következők:

Először is, ha van egy rendellenes WMI elem, a PowerShell egy ütemezett időpontban indul, és automatikusan aktiválódik minden 1 óránként a WQL utasítás szerint.

Megállapítsák, létezik-e az lsass.eXe fájl, és ha nincs, akkor WMI fog olvasni

root\cimv2: PowerShell_Command az EnMiner tulajdonság az osztályban, és a Base64 dekódolja és ír az isass.eXe-re.

Miután minden folyamat elkészül, megkezdődik a bányászat.

Előrehaladó összecsapás

A bányászati funkciók mellett maga az lsass.eXe bányászati vírus is fejlett ellenféli viselkedést mutat, vagyis mindent megtesz annak megakadályozására, hogy biztonsági szoftverek vagy biztonsági személyzet elemezze azt.

Az isass.eXe egy szálat hoz létre ilyen erős ellenfél műveletekkel:

Áthaladjuk a folyamatot, és találjuk, hogy létezik egy kapcsolódó folyamat (például a sandbox folyamatot SbieSvc.exe felfedezve), és véget vet önmagának:

A megfelelő szétszerelési kód a következő:

Összefoglalva, "hét antis" műveletet alkalmaz, vagyis amikor a következő biztonsági elemző eszközök vagy folyamatok vannak, automatikusan kilép, hogy megakadályozza a sandbox környezet vagy biztonsági személyzet elemzését.

Az első anti: anti-sandbox

Anti-sandbox fájlok:

A második ellen: hibakeresés elleni

Hibonta fájlok:

A harmadik anti-viselkedés monitorozás

Anti-viselkedésfigyelő fájlok:

A negyedik anti-hálózat-megfigyelés

Hálózatellenes megfigyelő fájlok:

Ötödik ellentéte: szétszerelés

Szétszerelési dokumentumok:

Hatodik anti-dokumentum-elemzés

Fájl-ellenes elemzési fájlok:

Hetedik anti-security-elemzés

Biztonsági elemző szoftver:

Széles körű gyilkosságok

A profit maximalizálása érdekében az EnMiner Mining végrehajtja a "PentaKill" műveletet.

Az első gyilkosság: a szolgálat megölése

Szüntesd meg az összes szolgáltatási folyamatot, ami az útjában áll (minden megölési műveletet a Killer modulban hajtanak végre).

Második gyilkosság: Kill plan küldetés

Mindenféle tervezett feladat, amely a rendszer erőforrásainak (CPU-források, amelyek miatt a bányászat leginkább aggaszt) pazarol, meghalnak.

A harmadik gyilkosság: kiölni a vírust

Az EnMinernek van vírusellene. Jó cselekedetek tettje?

Természetesen nem, akárcsak a WannaCry 2.0, a WannaCry 2.1 is kék képernyőket, zsarolást okoz, és biztosan hatással lesz az EnMiner bányászatra, és meg fogják ölni őket.

Egy másik példa a BillGates DDoS vírus, amelynek DDoS funkciója van, ami biztosan hatással lesz az EnMiner bányászatra, és mindezt megsemmisítik.

Negyedik gyilkosság: öld meg a társaidat

A társak ellenségek, egy gép nem bányászhat két bányát, és az EnMiner nem engedi, hogy mások vele "bányászat" végezzenek. Mindenféle bányászati vírus a piacon, találkozol egyel, és ölj meg egyet.

Annak érdekében, hogy a társak teljesen halottak legyenek, további folyamatokat ölnek meg portokon keresztül (a bányászathoz leggyakrabban használt portok).

Az ötödik gyilkosság: öngyilkosság

Ahogy korábban említettük, amikor az EnMiner felfedezi, hogy léteznek releváns biztonsági elemző eszközök, visszavonul, vagyis a Suit-et, ami a maximális ellenállás az elemzéssel.

Feküdj le és bányászom

Az EnMiner Miner, amely végrehajtotta a "hét anti-öt gyilkosság" műveletet, nincs versenytársa, gyakorlatilag a bányák már leállnak. Ezen felül a bányászati virion lsass.eXe WMI-ből regenerálható Base64 dekódolással. Ez azt jelenti, hogy ha csak az isass.eXe-t ölöd meg, a WMI 1 óránként regenerálódik, és fekve is bányászhatsz.

Eddig a vírus bányászta Monerót, és jelenleg a járvány korai szakaszában van, ezért a Sangfor emlékezteti a felhasználókat, hogy erősítsék a megelőzést.

megoldás

1. Izoláld a fertőzött gépet: A fertőzött számítógépet a lehető leghamarabb izolálja, zárja le minden hálózati kapcsolatot, és tiltsa ki a hálózati kártyát.

2. Erősítse meg a fertőzések számát: Ajánlott a Sangfor következő generációs tűzfalát vagy biztonsági tudatossági platformját használni a hálózati szintű megerősítéshez.

3. Töröld a WMI kivétel indítási elemeit:

Használd az Autoruns eszközt (letöltési link:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), keresd meg a szokatlan WMI indítást és töröld azt.

4. Ellenőrizni és elpusztítani a vírusokat

5. Javítási sebezhetőségek: Ha vannak sebezhetőségek a rendszerben, időben javítsd ki őket, hogy elkerüld a vírusok kihasználását.

6. Jelszó váltása: Ha a hosztefiók jelszó gyenge, ajánlott a nagy erősségű jelszó visszaállítása, hogy elkerülje a robbanás használatát.