|
最近、Sangforは高強度のウイルス対決挙動を持つ新しいタイプの採掘ウイルスを発見し、そのウイルスの発生メカニズムは従来の採掘とは大きく異なります。 現在、このウイルスは発生初期段階にあり、SangforはこのウイルスをEnMinerマイニングウイルスと名付け、その進行状況を追跡し、詳細な対策策を策定し続ける予定です。
このEnMinerウイルスはこれまでに遭遇した中で最も「殺人的な」採掘ウイルスであり、高強度のウイルス対決行動、いわゆる「7つのアンチファイブキル」と呼べる行動を示します。 アンチサンドボックス、アンチデバッグ、アンチ挙動監視、アンチネットワーク監視、逆アセンブル、アンチファイル分析、アンチセキュリティ分析、同時停止サービス、計画タスク、アンチウイルス、類似のマイニング、さらには抵抗分析行動の最大限度の自殺行為まで実行可能です!
ウイルス解析 攻撃シナリオ EnMinerウイルス攻撃は準備が整っており、反体制派を殺害し分析と戦うのに十分な効果をもたらしました。
上の図に示すように、lsass.eXeはマイニングビリオン(C:\Windows\tempディレクトリ内)であり、マイニング機能を担当します。 PowerShellスクリプトはbase64暗号化されており、WMIに存在し、Main、Killer、StartMinerの3つのモジュールで構成されています。 メインモジュールは起動を担当し、キラーはサービスとプロセスを停止し、スタートマイナーはマイニング開始を担当します。 詳細は以下の通りです。
まず、異常なWMI項目がある場合、PowerShellは予定された時間に起動され、WQLの文言に従って1時間ごとに自動的にトリガーされます。
lsass.eXeファイルが存在するかどうかを確認し、存在しなければWMIを読み取ります
root\cimv2: クラス内のEnMinerプロパティPowerShell_Command、そしてBase64のデコードとlsass.eXeへの書き込み。
すべてのプロセスが実行されると、マイニングが始まります。
高度な対立 マイニング機能に加え、マイニングウイルスlsass.eXe自体は高度な敵対的挙動も備えており、セキュリティソフトウェアやセキュリティ担当者による分析を妨げるためにあらゆる手段を講じています。
lsass.eXeは、次のような強力な敵対操作を持つスレッドを作成します:
プロセスを繰り返し、関連するプロセス(例:サンドボックスプロセスが発見される)が存在することを確認SbieSvc.exe、次のように終わります。
対応する逆アセンブリコードは以下の通りです:
まとめると、「セブンアンチ」機能があり、以下のセキュリティ分析ツールやプロセスが存在する場合、サンドボックス環境やセキュリティ担当者による分析を防ぐために自動的に退出します。
最初のアンチ:アンチサンドボックス
アンチサンドボックスファイル: SbieSvc.exe、SbieCtrl.exe、JoeBoxControl.exe、JoeBoxServer.exe 二つ目の反点:アンチデバッグ
アンチデバッグファイル: WinDbg.exe,OllyDBG.exe,OllyICE.exe,免疫De
bugger.exe、
x32dbg.exe、x64dbg.exe、win32_remote.exe、win64_remote64.exe 三つ目の反体制:行動監視
行動監視ファイル: RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe、
ProcessHacker.exe,sysAnalyzer.exe、
Proc_Analyzer.exe,Proc_Watch.exe、
Sniff_Hit.exe 第四の反ネットワーク監視
アンチネットワーク監視ファイル: Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe 第五の対極:分解
分解ドキュメント: IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe 第六の反:反文書分析
アンチファイル解析ファイル: PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe 第七の反:反安全保障分析
アンチセキュリティ解析ソフトウェア: HRSword.exe、
HipsDaemon.exe,ZhuDongFangYu.exe、
QQPCRTP.exe,PCHunter32.exe、
PCHunter64.exe 広範な殺害 利益最大化のため、EnMiner Miningは「PentaKill」事業を実施しました。
最初の殺害:サービスを終わらせること
邪魔になるサービスプロセスはすべて停止します(すべてのキル操作はキラーモジュールで行われます)。
二度目の殺害:殺害計画ミッション
あらゆる種類の計画されたタスクや、システムリソース(マイニングが最も懸念するCPUリソース)を浪費する作業が停止されます。
三つ目の殺害:ウイルスを殺すこと
EnMinerにはウイルス対策ソフトがあります。 善行をするためですか?
もちろん違います。WannaCry 2.0と同様に、WannaCry 2.1はブルースクリーンや脅迫を引き起こし、確実にEnMinerのマイニングにも影響を及ぼし、彼らは殺されます。
もう一つの例はBillGatesのDDoSウイルスで、DDoS機能を持ち、確実にEnMinerのマイニングに影響を与え、すべてが殺されます。
四つ目の殺害:仲間を殺す
ピア同士は敵対し、一台の機械が二つの鉱山を採掘することは許されず、EnMinerは他の機械が「採掘」のビジネスを奪うことを許しません。 市場にはあらゆる種類のマイニングウイルスが出回り、一つ遭遇して一つ倒す。
ピアを完全に死に保つために、追加のプロセスはポート(マイニングによく使われるポート)を通じてキルされます。
5人目の殺害:自殺
前述の通り、EnMinerは関連するセキュリティ分析ツールが存在すると発見すると、スーツを撤回し、これが分析に対する最大の抵抗力となります。
横になって、私のものを 「7つのアンチファイブキル」作戦を実施したEnMiner Minerは競合他社がおらず、基本的に鉱山は放置されています。 さらに、マイニングVirion lsass.eXeはBase64デコードによってWMIから再生成可能です。 つまり、lsass.eXeだけを倒してもWMIは1時間ごとに再生し、横になっても採掘できます。
これまでウイルスはMoneroをマイニングしており、感染拡大の初期段階にあります。Sangforはユーザーに予防強化を呼びかけています。
解決 1. 感染したホストを隔離する:感染したコンピュータをできるだけ早く隔離し、すべてのネットワーク接続を閉じ、ネットワークカードを無効にする。
2. 感染数の確認:ネットワーク全体の確認には、Sangforの次世代ファイアウォールまたはセキュリティ認識プラットフォームの使用が推奨されます。
3. WMI例外の起動項目を削除する:
Autorunsツールをご利用ください(ダウンロードリンクはこちら:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns異常なWMI起動を見つけて削除してください。
4. ウイルスのチェックと駆除
5. 脆弱性の修正:システムに脆弱性がある場合は、ウイルスによる悪用を避けるために早期にパッチを当ててください。
6. パスワード変更:ホストアカウントのパスワードが弱い場合は、強力なパスワードをリセットして大音量で使用されるのを避けることを推奨します。 | 
掲載地 2018/06/26 9:46:47
|
|
|
|
