[Analisis Virus] Peringatan energi tinggi! Waspadalah terhadap penambangan EnMiner

Baru-baru ini, Sangfor menemukan jenis baru virus penambangan dengan perilaku konfrontasi virus intensitas tinggi, dan mekanisme virusnya sangat berbeda dengan penambangan konvensional. Saat ini, virus ini berada dalam tahap awal wabah, dan Sangfor telah menamai virus tersebut virus penambangan EnMiner, dan akan terus melacak perkembangannya dan merumuskan tindakan pencegahan terperinci.

Virus EnMiner ini adalah virus penambangan paling "membunuh" yang ditemui sejauh ini, dan memiliki perilaku konfrontasi virus intensitas tinggi, yang dapat disebut "tujuh anti-lima pembunuhan". Itu dapat anti-kotak pasir, anti-debugging, pemantauan anti-perilaku, pemantauan anti-jaringan, pembongkaran, analisis anti-file, analisis anti-keamanan dan pembunuhan layanan secara simultan, tugas perencanaan, anti-virus, penambangan serupa, dan bahkan bunuh diri hingga tingkat terbesar perilaku analisis resistensi!     

Analisis virus

Skenario serangan

Serangan virus EnMiner dapat digambarkan sebagai persiapan, dan telah melakukan cukup banyak untuk membunuh pembangkang dan melawan analisis.

Seperti yang ditunjukkan pada gambar di atas, lsass.eXe adalah virion penambangan (di direktori C:\Windows\temp) dan bertanggung jawab atas fungsi penambangan. Skrip Powershell dienkripsi base64 dan ada di WMI, dengan tiga modul: Main, Killer, dan StartMiner. Modul Utama bertanggung jawab untuk memulai, Pembunuh bertanggung jawab untuk mematikan layanan dan prosesnya, dan StartMiner bertanggung jawab untuk memulai penambangan. Rinciannya adalah sebagai berikut:

Pertama, jika ada item WMI yang tidak normal, PowerShell akan dimulai pada waktu yang dijadwalkan, dan akan secara otomatis dipicu setiap 1 jam sekali sesuai dengan pernyataan WQL.

Tentukan apakah file lsass.eXe ada, dan jika tidak, file tersebut akan membaca WMI

root\cimv2: PowerShell_Command properti EnMiner di kelas dan decoding dan penulisan Base64 ke lsass.eXe.

Setelah semua proses dieksekusi, penambangan dimulai.

Konfrontasi lanjutan

Selain fungsi penambangan, virus penambangan lsass.eXe sendiri juga memiliki perilaku permusuhan yang canggih, yaitu melakukan segala kemungkinan untuk mencegah perangkat lunak keamanan atau personel keamanan menganalisisnya.

lsass.eXe membuat utas dengan operasi musuh yang kuat seperti ini:

Iterasi melalui proses dan temukan bahwa ada proses terkait (misalnya, proses kotak pasir SbieSvc.exe ditemukan) dan akhiri dengan sendirinya:

Kode pembongkaran yang sesuai adalah sebagai berikut:

Singkatnya, ia memiliki operasi "tujuh anti", yaitu ketika ada alat atau proses analisis keamanan berikut, ia akan secara otomatis keluar untuk mencegahnya dianalisis oleh lingkungan kotak pasir atau personel keamanan.

Anti pertama: anti-kotak pasir

File anti-kotak pasir:

Anti kedua: anti-debugging

File anti-debug:

Anti ketiga: pemantauan anti-perilaku

File pemantauan anti-perilaku:

Anti keempat: pengawasan anti-jaringan

File pemantauan anti-jaringan:

Antitesis kelima: pembongkaran

Dokumen pembongkaran:

Anti keenam: analisis anti-dokumen

File analisis anti-file:

Anti ketujuh: analisis anti-keamanan

Perangkat lunak analisis anti-keamanan:

Pembunuhan yang meluas

Untuk memaksimalkan keuntungan, EnMiner Mining menjalankan operasi "PentaKill".

Pembunuhan pertama: bunuh layanan

Matikan semua proses layanan yang menghalangi (semua operasi pembunuhan dilakukan di modul Killer).

Pembunuhan kedua: Misi rencana pembunuhan

Semua jenis tugas yang direncanakan, membuang-buang sumber daya sistem (sumber daya CPU yang paling dikhawatirkan penambangan), akan terbunuh.

Pembunuhan ketiga: bunuh virus

EnMiner memiliki antivirus. Apakah untuk melakukan perbuatan baik?

Tentu saja tidak, seperti WannaCry 2.0, WannaCry 2.1 akan menyebabkan layar biru, pemerasan, dan pasti akan mempengaruhi penambangan EnMiner, dan mereka akan terbunuh.

Contoh lainnya adalah virus BillGates DDoS, yang memiliki fungsi DDoS, yang pasti akan mempengaruhi penambangan EnMiner, dan semuanya akan dibunuh.

Pembunuhan keempat: bunuh rekan-rekan Anda

Rekan-rekan adalah musuh, satu mesin tidak diizinkan menambang dua ranjau, dan EnMiner tidak mengizinkan orang lain untuk mengambil bisnis "penambangan" dengannya. Semua jenis virus penambangan di pasaran, temui satu dan bunuh satu.

Untuk memastikan bahwa rekan benar-benar mati, proses tambahan dimatikan melalui port (port yang umum digunakan untuk penambangan).

Pembunuhan kelima: bunuh diri

Seperti disebutkan sebelumnya, ketika EnMiner menemukan bahwa ada alat analisis keamanan yang relevan, ia akan mundur, yaitu setelan, yang merupakan resistensi maksimum terhadap analisis.

Berbaring dan milikku

EnMiner Miner, yang telah melakukan operasi "tujuh anti-lima pembunuhan", tidak memiliki pesaing dan pada dasarnya tambang tergeletak. Selain itu, virion penambangan lsass.eXe dapat diregenerasi dari WMI melalui decoding Base64. Artinya, jika Anda hanya membunuh lsass.eXe, WMI akan beregenerasi setiap 1 jam dan Anda dapat menambang dengan berbaring.

Hingga saat ini, virus tersebut telah menambang Monero, dan virus tersebut saat ini berada dalam tahap awal wabah, dan Sangfor mengingatkan pengguna untuk memperkuat pencegahan.

larutan

1. Isolasi host yang terinfeksi: Isolasi komputer yang terinfeksi sesegera mungkin, tutup semua koneksi jaringan, dan nonaktifkan kartu jaringan.

2. Konfirmasikan jumlah infeksi: Disarankan untuk menggunakan firewall generasi berikutnya atau platform kesadaran keamanan Sangfor untuk konfirmasi di seluruh jaringan.

3. Hapus Item Startup Pengecualian WMI:

Gunakan alat Autoruns (tautan unduhan adalah:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), temukan startup WMI yang tidak normal dan hapus.

4. Periksa dan bunuh virus

5. Tambal kerentanan: Jika ada kerentanan dalam sistem, tambal tepat waktu untuk menghindari dieksploitasi oleh virus.

6. Ubah kata sandi: Jika kata sandi akun host lemah, disarankan untuk mengatur ulang kata sandi berkekuatan tinggi agar tidak digunakan dengan ledakan.