[Virusanalyse] Høyenergi-advarsel! Vær forsiktig med EnMiner-gruvedrift

Nylig oppdaget Sangfor en ny type gruvevirus med høyintensiv viruskonfrontasjonsatferd, og virusmekanismen er svært annerledes enn konvensjonell gruvedrift. For øyeblikket er viruset i de tidlige stadiene av utbruddet, og Sangfor har gitt viruset navnet EnMiner mining virus, og vil fortsette å følge utviklingen og utarbeide detaljerte mottiltak.

Dette EnMiner-viruset er det mest "morderske" gruveviruset som er møtt så langt, og har en høyintensiv viruskonfrontasjonsatferd, som kan kalles "syv anti-fem-drap". Den kan anti-sandkasse, anti-feilsøking, anti-atferdsovervåking, anti-nettverksovervåking, demontering, anti-filanalyse, anti-sikkerhetsanalyse og samtidig nedstengning av tjenester, planleggingsoppgaver, antivirus, lignende mining, og til og med selvmord i størst grad av motstandsanalyseatferd!     

Virusanalyse

Angrepsscenario

EnMiner-virusangrepet kan beskrives som forberedt, og det har gjort nok til å drepe dissidenter og kjempe mot analyse.

Som vist i figuren ovenfor, er lsass.eXe en mining-virion (i C:\Windows\temp-katalogen) og er ansvarlig for mining-funksjoner. Powershell-skriptene er base64-krypterte og finnes i WMI, med tre moduler: Main, Killer og StartMiner. Hovedmodulen er ansvarlig for å starte, Killer er ansvarlig for å drepe tjenesten og prosessen, og StartMiner er ansvarlig for å starte gruvedriften. Detaljene er som følger:

For det første, hvis det er et unormalt WMI-element, vil PowerShell bli startet på et avtalt tidspunkt, og det vil automatisk bli utløst én gang hver time ifølge WQL-setningen.

Finn ut om lsass.eXe-filen eksisterer, og hvis ikke, vil den lese WMI

root\cimv2: PowerShell_Command EnMiner-egenskapen i klassen og Base64 dekoding og skriving til lsass.eXe.

Når alle prosesser er utført, starter mining.

Avansert konfrontasjon

I tillegg til mining-funksjoner har miningviruset lsass.eXe også avansert adversarial atferd, det vil si at det gjør alt for å hindre sikkerhetsprogramvare eller sikkerhetspersonell i å analysere det.

lsass.eXe lager en tråd med sterke adversarielle operasjoner som dette:

Iterer gjennom prosessen og finn at det finnes en relatert prosess (f.eks. sandkasseprosessen SbieSvc.exe oppdaget) og avslutt seg selv:

Den tilsvarende disassemblerkoden er som følger:

Oppsummert har den en «syv antis»-operasjon, det vil si at når det finnes følgende sikkerhetsanalyseverktøy eller -prosesser, vil den automatisk avslutte for å forhindre at den blir analysert av sandkassemiljøet eller sikkerhetspersonell.

Den første anti: anti-sandkasse

Anti-sandkassefiler:

Den andre anti-feilsøkingen: anti-feilsøking

Anti-feilsøkingsfiler:

Den tredje anti: anti-atferdsovervåking

Anti-atferdsovervåkingsfiler:

Den fjerde anti: anti-nettverksovervåkning

Anti-nettverksovervåkingsfiler:

Femte antitese: oppløsning

Demonteringsdokumenter:

Sjette anti: anti-dokumentanalyse

Anti-filanalysefiler:

Syvende anti: anti-sikkerhetsanalyse

Anti-sikkerhetsanalyseprogramvare:

Omfattende drap

For å maksimere profitten gjennomfører EnMiner Mining "PentaKill"-operasjonen.

Det første drapet: avslutt tjenesten

Drep alle serviceprosesser som kommer i veien (alle killing-operasjoner utføres i Killer-modulen).

Andre drap: Drep-plan-oppdrag

Alle slags planlagte oppgaver, sløsing med systemressurser (CPU-ressurser som gruvedriften er mest opptatt av), vil bli drept.

Det tredje drapet: drep viruset

EnMiner har antivirus. Er det for å gjøre gode gjerninger?

Selvfølgelig ikke, som WannaCry 2.0 vil WannaCry 2.1 føre til blå skjermer, utpressing, og definitivt påvirke EnMiner-gruvedrift, og de vil bli drept.

Et annet eksempel er BillGates DDoS-viruset, som har DDoS-funksjon, som definitivt vil påvirke EnMiner-gruvedrift, og alt vil bli drept.

Fjerde drap: drep dine jevnaldrende

Peers er fiender, én maskin har ikke lov til å mine to miner, og EnMiner tillater ikke andre å ta over «mining» med den. Alle slags gruvevirus på markedet, møt én og drep én.

For å sikre at peers er helt døde, blir flere prosesser drept gjennom porter (ofte brukte porter for mining).

Det femte drapet: selvmord

Som nevnt tidligere, når EnMiner oppdager at det finnes relevante sikkerhetsanalyseverktøy, vil de trekke seg tilbake, det vil si drakt, som er maksimal motstand mot analyse.

Legg deg ned og mine

EnMiner Miner, som har gjennomført «syv anti-fem drap»-operasjonen, har ingen konkurrenter og gruver i praksis liggende ned. I tillegg kan mining virionen lsass.eXe regenereres fra WMI via Base64-dekoding. Dette betyr at hvis du bare dreper lsass.eXe, vil WMI regenerere hver time og du kan mine liggende.

Hittil har viruset utvunnet Monero, og viruset er for øyeblikket i de tidlige fasene av utbruddet, og Sangfor minner brukerne om å styrke forebyggingen.

løsning

1. Isoler den infiserte verten: Isoler den infiserte datamaskinen så snart som mulig, lukk alle nettverkstilkoblinger og deaktiver nettverkskortet.

2. Bekreft antall infeksjoner: Det anbefales å bruke Sangfors neste generasjons brannmur eller sikkerhetsbevissthetsplattform for nettverksomfattende bekreftelse.

3. Slett oppstartselementer for WMI-unntak:

Bruk Autoruns-verktøyet (nedlastingslenken er:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), finn den unormale WMI-oppstarten og slett den.

4. Sjekk og drep virus

5. Patch sårbarheter: Hvis det finnes sårbarheter i systemet, patch dem i tide for å unngå å bli utnyttet av virus.

6. Endre passord: Hvis vertskontoens passord er svakt, anbefales det å tilbakestille det kraftige passordet for å unngå bruk av blasting.