[Analisi del virus] Allarme energia alta! Fai attenzione al mining con EnMiner

Recentemente, Sangfor ha scoperto un nuovo tipo di virus minerario con un comportamento di confronto virale ad alta intensità, e il suo meccanismo virale è molto diverso da quello dell'estrazione tradizionale. Attualmente, il virus è nelle fasi iniziali dell'epidemia, e Sangfor ha chiamato il virus EnMiner mining virus, continuando a monitorarne lo sviluppo e a formulare contromisure dettagliate.

Questo virus EnMiner è il virus minerario più "assassino" mai incontrato finora, e presenta un comportamento di confronto virale ad alta intensità, che può essere definito "sette uccisioni anti-cinque". Può essere anti-sandbox, anti-debug, anti-monitoraggio comportamentale, anti-monitoraggio di rete, disassemblaggio, anti-analisi file, analisi anti-sicurezza e simultaneamente cancellazione di servizi, pianificazione di compiti, antivirus, mining simili, e persino suicidio fino alla massima intensità di comportamento di analisi della resistenza!     

Analisi del virus

Scenario d'attacco

L'attacco del virus EnMiner può essere descritto come preparato, e ha fatto abbastanza per uccidere dissidenti e combattere l'analisi.

Come mostrato nella figura sopra, lsass.eXe è un virione minerario (nella directory C:\Windows\temp) ed è responsabile delle funzioni di mining. Gli script Powershell sono criptati base64 ed esistono in WMI, con tre moduli: Main, Killer e StartMiner. Il modulo principale è responsabile dell'avvio, il Killer è responsabile di interrompere il servizio e il processo, e lo StartMiner è responsabile dell'avvio del mining. I dettagli sono i seguenti:

Innanzitutto, se c'è un elemento WMI anomalo, PowerShell verrà avviato a un orario programmato e verrà attivato automaticamente una volta ogni 1 ora secondo la dichiarazione WQL.

Determina se il file lsass.eXe esiste e, in caso contrario, leggerà WMI

root\cimv2: PowerShell_Command la proprietà EnMiner nella classe e Base64 decodifica e scrive in lsass.eXe.

Una volta eseguiti tutti i processi, inizia il mining.

Confronto avanzato

Oltre alle funzioni di mining, il virus minerario lsass.eXe stesso presenta anche comportamenti avversariali avanzati, cioè fa tutto il possibile per impedire che software o personale di sicurezza lo analizzino.

lsass.eXe crea un thread con operazioni avversarie forti come questa:

Iterare nel processo e scoprire che esiste un processo correlato (ad esempio, il processo sandbox SbieSvc.exe scoperto) e si conclude:

Il corrispondente codice di sassemblaggio è il seguente:

In sintesi, ha un'operazione "seven antis", cioè quando sono presenti i seguenti strumenti o processi di analisi della sicurezza, esce automaticamente per impedire che venga analizzato dall'ambiente sandbox o dal personale di sicurezza.

Il primo anti: anti-sandbox

File anti-sandbox:

Il secondo anti: anti-debugging

File anti-debug:

Il terzo contro: il monitoraggio anti-comportamentale

File di monitoraggio anti-comportamento:

Il quarto anti: la sorveglianza anti-rete

File di monitoraggio anti-rete:

Quinta antitesi: smontaggio

Documenti di smontaggio:

Sesto anti: analisi anti-documenti

File di analisi anti-file:

Settimo anti: analisi anti-sicurezza

Software di analisi anti-sicurezza:

Uccisioni diffuse

Per massimizzare i profitti, EnMiner Mining esegue l'operazione "PentaKill".

La prima uccisione: uccidere il servizio

Blocca tutti i processi di servizio che si mettono in mezzo (tutte le operazioni di uccisione vengono eseguite nel modulo Killer).

Seconda uccisione: missione del piano di uccisione

Ogni tipo di compito pianificato, sprecando risorse di sistema (risorse CPU che più preoccupano il mining), verranno eliminati.

La terza uccisione: uccidere il virus

EnMiner ha un antivirus. È per fare buone azioni?

Certo che no, come WannaCry 2.0, WannaCry 2.1 causerà schermate blu, ricatto e sicuramente influenzerà il mining di EnMiner, e verranno uccisi.

Un altro esempio è il virus DDoS BillGates, che ha una funzione DDoS, che sicuramente influenzerà il mining EnMiner, e tutto verrà eliminato.

Quarta uccisione: uccidi i tuoi coetanei

I pari sono nemici, una macchina non può estrarre due mine, e EnMiner non permette ad altri di occuparsi del "mining" con essa. Tutti i tipi di virus minerari sul mercato, ne incontri uno e ne uccidi uno.

Per garantire che i peer siano completamente morti, vengono eliminati processi aggiuntivi tramite porte (porte comunemente usate per il mining).

La quinta uccisione: suicidio

Come detto prima, quando EnMiner scopre che esistono strumenti rilevanti per l'analisi della sicurezza, si ritirerà, cioè la causa, che rappresenta la massima resistenza all'analisi.

Sdraiati e mio.

EnMiner Miner, che ha condotto l'operazione "sette uccisioni anti-cinque", non ha concorrenti e praticamente mina a terra. Inoltre, il virione minerario lsass.eXe può essere rigenerato da WMI tramite decodifica Base64. Questo significa che se uccidi solo lsass.eXe, WMI si rigenererà ogni 1 ora e puoi estrarre sdraiato.

Finora, il virus ha estratto Monero, e il virus è attualmente nelle fasi iniziali dell'epidemia, e Sangfor ricorda agli utenti di rafforzare la prevenzione.

soluzione

1. Isolare l'host contaminato: isolare il computer infetto il prima possibile, chiudere tutte le connessioni di rete e disabilitare la scheda di rete.

2. Confermare il numero di infezioni: Si raccomanda di utilizzare il firewall di nuova generazione di Sangfor o la piattaforma di consapevolezza della sicurezza per la conferma a livello di rete.

3. Elimina gli elementi di avvio delle eccezioni WMI:

Usa lo strumento Autoruns (il link per il download è:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), trova l'avvio anomalo del WMI e cancella.

4. Controllare e uccidere i virus

5. Patchare vulnerabilità: Se ci sono vulnerabilità nel sistema, correggile in tempo per evitare di essere sfruttate dai virus.

6. Cambia password: Se la password dell'account host è debole, si consiglia di resettare la password ad alta potenza per evitare di essere usata tramite blasting.