[Vīrusu analīze] Augstas enerģijas brīdinājums! Esiet piesardzīgs ar EnMiner ieguvi

Nesen Sangfor atklāja jauna veida kalnrūpniecības vīrusu ar augstas intensitātes vīrusu konfrontācijas uzvedību, un tā vīrusa mehānisms ļoti atšķiras no parastās ieguves. Šobrīd vīruss ir uzliesmojuma sākumposmā, un Sangfor ir nosaucis vīrusu par EnMiner ieguves vīrusu un turpinās izsekot tā attīstībai un formulēt detalizētus pretpasākumus.

Šis EnMiner vīruss ir "slepkavīgākais" kalnrūpniecības vīruss, kas līdz šim saskāries, un tam ir augstas intensitātes vīrusu konfrontācijas uzvedība, ko var saukt par "septiņiem anti-pieciem nogalinājumiem". Tas var anti-smilšu kaste, anti-atkļūdošana, anti-uzvedības uzraudzība, anti-tīkla uzraudzība, demontāža, anti-failu analīze, anti-drošības analīze un vienlaicīga pakalpojumu nogalināšana, plānošanas uzdevumi, anti-vīrusi, līdzīga ieguve un pat pašnāvība vislielākajā mērā pretestības analīzes uzvedību!     

Vīrusu analīze

Uzbrukuma scenārijs

EnMiner vīrusa uzbrukumu var raksturot kā sagatavotu, un tas ir darījis pietiekami, lai nogalinātu disidentus un cīnītos pret analīzi.

Kā parādīts iepriekš redzamajā attēlā, lsass.eXe ir kalnrūpniecības virions (direktorijā C:\Windows\temp) un ir atbildīgs par ieguves funkcijām. Powershell skripti ir šifrēti base64 un pastāv WMI ar trim moduļiem: Main, Killer un StartMiner. Galvenais modulis ir atbildīgs par startēšanu, slepkava ir atbildīgs par pakalpojuma un procesa nogalināšanu, un StartMiner ir atbildīgs par ieguves uzsākšanu. Sīkāka informācija ir šāda:

Pirmkārt, ja ir neparasts WMI vienums, PowerShell tiks startēts plānotajā laikā, un tas tiks automātiski aktivizēts reizi 1 stundā saskaņā ar WQL paziņojumu.

Nosakiet, vai fails lsass.eXe pastāv, un, ja nē, tas lasīs WMI

root\cimv2: PowerShell_Command EnMiner rekvizītu klasē un Base64 dekodēšanu un rakstīšanu uz lsass.eXe.

Kad visi procesi ir izpildīti, sākas ieguve.

Uzlabota konfrontācija

Papildus kalnrūpniecības funkcijām kalnrūpniecības vīrusam lsass.eXe ir arī uzlabota pretinieku uzvedība, tas ir, tas dara visu iespējamo, lai drošības programmatūra vai drošības darbinieki to neanalizētu.

lsass.eXe izveido pavedienu ar spēcīgām pretinieku operācijām, piemēram:

Atkārtojiet procesu un konstatējiet, ka ir saistīts process (piemēram, SbieSvc.exe atklāts smilškastes process) un beidziet pats:

Atbilstošais demontāžas kods ir šāds:

Kopumā tam ir "septiņi antis" operācija, tas ir, ja ir šādi drošības analīzes rīki vai procesi, tas automātiski izies, lai novērstu smilšu kastes vides vai drošības personāla analīzi.

Pirmais anti: anti-smilšu kaste

Anti-smilšu kastes faili:

Otrais anti: anti-atkļūdošana

Anti-atkļūdošanas faili:

Trešais pret: anti-uzvedības uzraudzība

Uzvedības novēršanas faili:

Ceturtais pret: anti-tīkla uzraudzība

Prettīkla uzraudzības faili:

Piektā antitēze: demontāža

Demontāžas dokumenti:

Sestais pret: anti-dokumentu analīze

Anti-failu analīzes faili:

Septītais pret: pretdrošības analīze

Pretdrošības analīzes programmatūra:

Plaši izplatīta slepkavība

Lai maksimāli palielinātu peļņu, EnMiner Mining veic operāciju "PentaKill".

Pirmais nogalināšana: nogalināt pakalpojumu

Nogaliniet visus pakalpojuma procesus, kas traucē (visas nogalināšanas operācijas tiek veiktas Killer modulī).

Otrā nogalināšana: nogalināšanas plāna misija

Tiks nogalināti visa veida plānotie uzdevumi, izšķērdējot sistēmas resursus (CPU resursi, par kuriem visvairāk uztraucas ieguve).

Trešā nogalināšana: nogalināt vīrusu

EnMiner ir antivīruss. Vai tas ir darīt labus darbus?

Protams, nē, tāpat kā WannaCry 2.0, WannaCry 2.1 izraisīs zilos ekrānus, šantāžu un noteikti ietekmēs EnMiner ieguvi, un viņi tiks nogalināti.

Vēl viens piemērs ir BillGates DDoS vīruss, kuram ir DDoS funkcija, kas noteikti ietekmēs EnMiner ieguvi, un tas viss tiks nogalināts.

Ceturtā nogalināšana: nogaliniet savus vienaudžus

Vienaudži ir ienaidnieki, vienai mašīnai nav atļauts iegūt divas raktuves, un EnMiner neļauj citiem ar to sagrābt "kalnrūpniecības" biznesu. Visu veidu kalnrūpniecības vīrusi tirgū, sastopas ar vienu un nogalina vienu.

Lai nodrošinātu, ka vienaudži ir pilnīgi miruši, papildu procesi tiek nogalināti caur ostām (parasti izmantotas kalnrūpniecības ostas).

Piektā nogalināšana: pašnāvība

Kā minēts iepriekš, kad EnMiner atklāj, ka ir attiecīgi drošības analīzes rīki, tas atteiksies, tas ir, uzvalks, kas ir maksimālā pretestība analīzei.

Gulēt un mans

EnMiner Miner, kas ir veicis operāciju "septiņi pret pieciem nogalinājumiem", nav konkurentu un būtībā mīnas guļ. Turklāt kalnrūpniecības virion lsass.eXe var reģenerēt no WMI, izmantojot Base64 dekodēšanu. Tas nozīmē, ka, ja jūs nogalināsiet tikai lsass.eXe, WMI atjaunosies ik pēc 1 stundas un jūs varat raktuves guļus.

Līdz šim vīruss ir ieguvis Monero, un vīruss pašlaik ir uzliesmojuma sākumposmā, un Sangfor atgādina lietotājiem stiprināt profilaksi.

šķīdums

1. Izolējiet inficēto resursdatoru: pēc iespējas ātrāk izolējiet inficēto datoru, aizveriet visus tīkla savienojumus un atspējojiet tīkla karti.

2. Apstipriniet infekciju skaitu: Tīkla apstiprināšanai ieteicams izmantot Sangfor nākamās paaudzes ugunsmūri vai drošības izpratnes platformu.

3. Izdzēsiet WMI izņēmuma startēšanas vienumus:

Izmantojiet rīku Autoruns (lejupielādes saite ir:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), atrodiet nenormālu WMI startēšanu un izdzēsiet to.

4. Pārbaudiet un nogaliniet vīrusus

5. Ielāpu ievainojamības: Ja sistēmā ir ievainojamības, ielāpējiet tās savlaicīgi, lai izvairītos no vīrusu izmantošanas.

6. Mainīt paroli: Ja resursdatora konta parole ir vāja, ieteicams atiestatīt augstas stiprības paroli, lai izvairītos no sprādziena izmantošanas.