[Virusų analizė] Įspėjimas apie didelę energiją! Būkite atsargūs dėl EnMiner kasybos

Neseniai "Sangfor" atrado naujo tipo kasybos virusą, pasižymintį didelio intensyvumo virusų konfrontacijos elgesiu, o jo viruso mechanizmas labai skiriasi nuo įprastos kasybos. Šiuo metu virusas yra ankstyvosiose protrūkio stadijose, o "Sangfor" pavadino virusą "EnMiner" kasybos virusu ir toliau stebės jo vystymąsi bei formuluos išsamias atsakomąsias priemones.

Šis "EnMiner" virusas yra "žudikiškiausias" kasybos virusas, su kuriuo susidūrė iki šiol, ir pasižymi didelio intensyvumo viruso konfrontacijos elgesiu, kurį galima pavadinti "septyniais anti-penkiais nužudymais". Jis gali anti-smėlio dėžė, anti-derinimas, anti-elgesio stebėjimo, anti-tinklo stebėjimo, išardymo, anti-failų analizė, anti-saugumo analizė ir tuo pačiu metu žudyti paslaugas, planavimo užduotis, antivirusinės, panašios kasybos, ir net savižudybės didžiausiu mastu atsparumo analizės elgesį!     

Virusų analizė

Atakos scenarijus

"EnMiner" viruso ataką galima apibūdinti kaip pasirengusią, ir ji padarė pakankamai, kad nužudytų disidentus ir kovotų su analize.

Kaip parodyta aukščiau esančiame paveikslėlyje, lsass.eXe yra kasybos virionas (kataloge C:\Windows\temp) ir yra atsakingas už kasybos funkcijas. "Powershell" scenarijai yra užšifruoti base64 ir egzistuoja WMI, su trimis moduliais: "Main", "Killer" ir "StartMiner". Pagrindinis modulis yra atsakingas už paleidimą, žudikas yra atsakingas už paslaugos ir proceso nužudymą, o StartMiner yra atsakingas už kasybos pradžią. Išsami informacija yra tokia:

Pirma, jei yra nenormalus WMI elementas, "PowerShell" bus paleista numatytu laiku ir bus automatiškai suaktyvinta kartą per 1 valandą pagal WQL pareiškimą.

Nustatykite, ar failas lsass.eXe egzistuoja, o jei ne, jis skaitys WMI

root\cimv2: PowerShell_Command EnMiner ypatybę klasėje ir Base64 dekodavimą ir rašymą į lsass.eXe.

Įvykdžius visus procesus, prasideda kasyba.

Išplėstinė konfrontacija

Be kasybos funkcijų, pats kasybos virusas lsass.eXe taip pat turi pažangų priešišką elgesį, tai yra, daro viską, kas įmanoma, kad saugos programinė įranga ar saugos darbuotojai jo neanalizuotų.

lsass.eXe sukuria giją, su stipriomis priešiškomis operacijomis, tokiomis kaip:

Pakartokite procesą ir pastebėkite, kad yra susijęs procesas (pvz., smėlio dėžės procesas SbieSvc.exe atrastas) ir baigti pats:

Atitinkamas išmontavimo kodas yra toks:

Apibendrinant galima pasakyti, kad jis turi "septynių antis" operaciją, tai yra, kai yra šie saugos analizės įrankiai ar procesai, jis automatiškai išeis, kad jo neanalizuotų smėlio dėžės aplinka ar saugos darbuotojai.

Pirmasis prieš: anti-smėlio dėžė

Anti-smėlio dėžės failai:

Antrasis prieš: anti-derinimas

Apsaugos nuo derinimo failai:

Trečiasis prieš: anti-elgesio stebėjimas

Anti-elgesio stebėjimo failai:

Ketvirtasis prieš: anti-tinklo stebėjimas

Anti-tinklo stebėjimo failai:

Penktoji antitezė: išardymas

Išmontavimo dokumentai:

Šeštasis prieš: antidokumentų analizė

Anti-failų analizės failai:

Septintoji prieš: antisaugumo analizė

Antisaugumo analizės programinė įranga:

Plačiai paplitęs žudymas

Siekdama maksimaliai padidinti pelną, "EnMiner Mining" vykdo operaciją "PentaKill".

Pirmasis nužudymas: nužudyti tarnybą

Nužudykite visus aptarnavimo procesus, kurie trukdo (visos žudymo operacijos atliekamos žudiko modulyje).

antrasis nužudyti: nužudyti plano misija

Visos suplanuotos užduotys, švaistant sistemos išteklius (procesoriaus išteklius, dėl kurių kasyba labiausiai rūpi), bus nužudytos.

Trečias nužudymas: nužudyti virusą

"EnMiner" turi antivirusinę programą. Ar tai daryti gerus darbus?

Žinoma, ne, kaip ir WannaCry 2.0, WannaCry 2.1 sukels mėlynus ekranus, šantažą ir neabejotinai paveiks EnMiner kasybą, ir jie bus nužudyti.

Kitas pavyzdys yra "BillGates" DDoS virusas, turintis DDoS funkciją, kuri neabejotinai paveiks "EnMiner" kasybą, ir visa tai bus nužudyta.

ketvirtas nužudyti: nužudyti savo bendraamžius

Bendraamžiai yra priešai, vienai mašinai neleidžiama kasti dviejų minų, o "EnMiner" neleidžia kitiems su ja griebtis "kasybos" verslo. Visų rūšių kasybos virusai rinkoje, susidurti su vienu ir nužudyti vieną.

Siekiant užtikrinti, kad bendraamžiai būtų visiškai mirę, papildomi procesai nužudomi per uostus (dažniausiai naudojamus kasybos uostus).

Penktasis nužudymas: savižudybė

Kaip minėta anksčiau, kai "EnMiner" sužinos, kad yra atitinkamų saugumo analizės įrankių, jis pasitrauks, tai yra, kostiumas, o tai yra didžiausias atsparumas analizei.

Paguldyk ir mano

"EnMiner Miner", kuri vykdė "septynių anti-penkių žudymų" operaciją, neturi konkurentų ir iš esmės minos guli. Be to, kasybos virioną lsass.eXe galima atkurti iš WMI naudojant Base64 dekodavimą. Tai reiškia, kad jei nužudysite tik lsass.eXe, WMI atsinaujins kas 1 valandą ir galėsite kasti gulėdami.

Iki šiol virusas išminavo Monero, o virusas šiuo metu yra ankstyvosiose protrūkio stadijose, o "Sangfor" primena vartotojams stiprinti prevenciją.

sprendimas

1. Izoliuokite užkrėstą pagrindinį kompiuterį: kuo greičiau izoliuokite užkrėstą kompiuterį, uždarykite visus tinklo ryšius ir išjunkite tinklo plokštę.

2. Patvirtinkite infekcijų skaičių: Norint patvirtinti visą tinklą, rekomenduojama naudoti naujos kartos "Sangfor" ugniasienę arba saugumo suvokimo platformą.

3. Ištrinkite WMI išimties paleisties elementus:

Naudokite "Autoruns" įrankį (atsisiuntimo nuoroda yra:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), suraskite neįprastą WMI paleidimą ir ištrinkite jį.

4. Patikrinkite ir naikinkite virusus

5. Pataisykite pažeidžiamumus: jei sistemoje yra pažeidžiamumų, laiku juos pataisykite, kad išvengtumėte virusų išnaudojimo.

6. Pakeiskite slaptažodį: jei pagrindinio kompiuterio paskyros slaptažodis yra silpnas, rekomenduojama iš naujo nustatyti didelio stiprumo slaptažodį, kad jo nenaudotų sprogdinant.