[바이러스 분석] 에너지 경고! EnMiner 채굴에 주의하세요

최근 상포르는 고강도 바이러스 대치 행동을 가진 새로운 유형의 채굴 바이러스를 발견했으며, 그 바이러스 메커니즘은 기존 채굴과는 매우 다릅니다. 현재 이 바이러스는 발병 초기 단계에 있으며, 상포르는 이 바이러스를 엔마이너 채굴 바이러스라고 명명하고 계속 진행 상황을 추적하고 상세한 대응책을 마련할 예정입니다.

이 EnMiner 바이러스는 지금까지 만난 채굴 바이러스 중 가장 '살인적인' 채굴 바이러스이며, 고강도 바이러스 대치 행동을 보여서 '7번의 안티-파이브 킬'이라고 부를 수 있습니다. 이 기기는 안티샌드박스, 안티디버깅, 안티-행동 모니터링, 안티-네트워크 모니터링, 디어셈블, 안티파일 분석, 안티-보안 분석, 서비스 동시 종료, 계획 작업, 안티바이러스, 유사한 마이닝, 심지어 최대 수준의 저항 분석 행동까지 수행할 수 있습니다!     

바이러스 분석

공격 시나리오

EnMiner 바이러스 공격은 준비된 것으로 표현할 수 있으며, 반체제 인사들을 죽이고 분석을 방해하는 데 충분한 역할을 했습니다.

위 그림에서 보듯이, lsass.eXe는 채굴 바이러스(C:\Windows\temp 디렉터리)이며 채굴 기능을 담당합니다. Powershell 스크립트는 base64 암호화되어 있으며 WMI에 존재하며, Main, Killer, StartMiner 세 가지 모듈로 구성되어 있습니다. 메인 모듈은 시작을 담당하고, 킬러는 서비스와 프로세스를 종료하며, 스타트마이너는 채굴을 시작합니다. 자세한 내용은 다음과 같습니다:

먼저, 비정상적인 WMI 항목이 있으면 예정된 시간에 PowerShell이 시작되며, WQL 문장에 따라 1시간마다 자동으로 트리거됩니다.

lsass.eXe 파일이 존재하는지 확인하고, 없으면 WMI를 읽습니다

root\cimv2: 클래스에 EnMiner 속성을 PowerShell_Command하고, Base64를 디코딩하여 lsass.eXe에 쓰는 방식입니다.

모든 프로세스가 실행되면 채굴이 시작됩니다.

고급 대치

채굴 기능 외에도, 채굴 바이러스 lsass.eXe 자체는 고급 적대적 행동을 가지고 있어, 보안 소프트웨어나 보안 인력이 이를 분석하는 것을 최대한 차단합니다.

lsass.eXe는 다음과 같은 강력한 적대적 연산을 가진 스레드를 생성합니다:

과정을 반복하여 관련 프로세스(예: 샌드박스 프로세스를 발견SbieSvc.exe 있음)를 발견하고 다음과 같이 끝내세요:

해당 디어셈블 코드는 다음과 같습니다:

요약하자면, 이 사이트는 '일곱 개의 안티스(seven antis)' 운영을 가지고 있는데, 이는 다음과 같은 보안 분석 도구나 프로세스가 있을 때 자동으로 종료하여 샌드박스 환경이나 보안 인력에 의해 분석되지 않도록 하는 것입니다.

첫 번째 안티: 안티-샌드박스

안티-샌드박스 파일:

두 번째 안티: 안티디버깅

안티디버그 파일:

세 번째 반: 행동 모니터링 방지

행동 방지 모니터링 파일:

네 번째 반: 반네트워크 감시

안티네트워크 모니터링 파일:

다섯 번째 반대: 분해

분해 문서:

여섯 번째 반: 반문서 분석

안티파일 분석 파일:

일곱 번째 반: 반보안 분석

안티 보안 분석 소프트웨어:

광범위한 살해

이익 극대화를 위해 EnMiner Mining은 "PentaKill" 작업을 실행합니다.

첫 번째 죽음: 서비스를 끊으라.

방해가 되는 모든 서비스 프로세스를 종료하세요(모든 킬링 작업은 킬러 모듈에서 수행됩니다).

두 번째 킬: 킬 플랜 미션

모든 종류의 계획된 작업, 즉 시스템 자원(채굴이 가장 신경 쓰는 CPU 자원)을 낭비하는 작업이 모두 사라질 것입니다.

세 번째 살인: 바이러스를 죽이는 것

EnMiner에는 안티바이러스가 있습니다. 선행을 하려는 건가요?

물론 아니죠. WannaCry 2.0처럼 WannaCry 2.1은 블루스크린, 협박을 유발하고 EnMiner 채굴에도 확실히 영향을 미치며, 그들은 죽게 될 것입니다.

또 다른 예로는 BillGates DDoS 바이러스가 있는데, DDoS 기능이 있어 EnMiner 채굴에 확실히 영향을 미치고 모두 제거될 것입니다.

네 번째 살인: 동료를 죽이기

동료들은 적이며, 한 기계는 두 개의 광산을 채굴할 수 없으며, EnMiner는 다른 사람들이 그 광산으로 '채굴' 사업을 차지하는 것을 허용하지 않습니다. 시장에 나와 있는 온갖 채굴 바이러스, 한 마리 만나서 죽이세요.

피어 노드가 완전히 죽도록 하기 위해 추가 프로세스는 포트(채굴에 흔히 사용되는 포트)를 통해 종료됩니다.

다섯 번째 살인: 자살

앞서 언급했듯이, EnMiner가 관련 보안 분석 도구가 존재함을 발견하면 철회하는데, 이는 분석에 대한 최대 저항입니다.

누워서 내

"7대 5명 킬" 작전을 수행한 EnMiner Miner는 경쟁자가 없고 사실상 광산이 가만히 있는 상태입니다. 또한, 채굴용 virion lsass.eXe는 Base64 디코딩을 통해 WMI에서 재생성할 수 있습니다. 즉, lsass.eXe만 죽으면 WMI가 1시간마다 재생되어 누워 채굴할 수 있다는 뜻입니다.

지금까지 바이러스는 모네로를 채굴했으며, 바이러스는 발병 초기 단계에 있으며, Sangfor는 사용자들에게 예방 강화를 당부합니다.

용액

1. 감염된 호스트 격리: 감염된 컴퓨터를 가능한 한 빨리 격리하고, 모든 네트워크 연결을 종료하며, 네트워크 카드를 비활성화하세요.

2. 감염 건수 확인: 네트워크 전체 확인을 위해 상포르의 차세대 방화벽 또는 보안 인식 플랫폼을 사용하는 것이 권장됩니다.

3. WMI 예외 시작 항목 삭제:

Autoruns 도구를 사용하세요 (다운로드 링크는 다음과 같습니다:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns) 비정상적인 WMI 시작 데이터를 찾아서 삭제하세요.

4. 바이러스 검사 및 제거

5. 취약점 패치: 시스템에 취약점이 있다면 바이러스에 악용되지 않도록 제때 패치하세요.

6. 비밀번호 변경: 호스트 계정 비밀번호가 약할 경우, 블라스팅에 사용되지 않도록 강력한 비밀번호를 재설정하는 것이 권장됩니다.