Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Andere technologieën Veilige aanval en verdediging Hoge energiewaarschuwing! Wees op je hoede voor EnMiner-mijnbouw
Bekijken: 14273|Antwoord: 0

[Virusanalyse] Hoge energiewaarschuwing! Wees op je hoede voor EnMiner-mijnbouw

[Link kopiëren]
Geplaatst op 26-06-2018 09:46:47 | | | |

Onlangs ontdekte Sangfor een nieuw type mijnbouwvirus met hoogintensief virusconfrontatiegedrag, en het virusmechanisme ervan verschilt sterk van dat van conventionele mijnbouw. Op dit moment bevindt het virus zich in de vroege stadia van de uitbraak, en Sangfor heeft het virus EnMiner mining virus genoemd, en zal de ontwikkeling ervan blijven volgen en gedetailleerde tegenmaatregelen ontwikkelen.


Dit EnMiner-virus is het meest "moorddadige" mijnbouwvirus dat tot nu toe is tegengekomen, en vertoont een hoogintensief virusconfrontatiegedrag, dat kan worden genoemd "zeven anti-vijf kills". Het kan anti-sandbox, anti-debugging, anti-gedragsmonitoring, anti-netwerkmonitoring, demontage, anti-bestandsanalyse, anti-beveiligingsanalyse en gelijktijdig beëindigen van diensten, planningstaken, anti-virussen, soortgelijk mining en zelfs zelfmoord tot in de grootste mate van resistentieanalysegedrag!     


Virusanalyse

Aanvalscenario

De aanval op het EnMiner-virus kan worden omschreven als voorbereid, en het heeft genoeg gedaan om dissidenten te doden en analyse te bestrijden.

Zoals te zien is in de bovenstaande figuur is lsass.eXe een mining-virion (in de C:\Windows\temp-directory) en verantwoordelijk voor mining-functies. Powershell-scripts zijn base64-versleuteld en bestaan in WMI, met drie modules: Main, Killer en StartMiner. De Main-module is verantwoordelijk voor het starten, de Killer is verantwoordelijk voor het beëindigen van de service en het proces, en de StartMiner is verantwoordelijk voor het starten van het mijnen. De details zijn als volgt:


Ten eerste, als er een abnormaal WMI-item is, wordt PowerShell op een gepland tijdstip gestart en wordt het automatisch eens per 1 uur geactiveerd volgens de WQL-instructie.


Bepaal of het lsass.eXe-bestand bestaat, en zo niet, dan zal het WMI lezen


root\cimv2: PowerShell_Command de EnMiner-eigenschap in de klasse en Base64 decoderen en schrijven naar lsass.eXe.


Zodra alle processen zijn uitgevoerd, begint het minen.


Geavanceerde confrontatie

Naast miningfuncties vertoont het miningvirus lsass.eXe zelf ook geavanceerd adversarieel gedrag, dat wil zeggen dat het alles doet om beveiligingssoftware of beveiligingspersoneel te voorkomen dat het wordt geanalyseerd.


lsass.eXe maakt een thread met sterke adversariële bewerkingen zoals deze:


Herhaal het proces en ontdek dat er een gerelateerd proces is (bijvoorbeeld het sandboxproces SbieSvc.exe ontdekt) en eindig zichzelf:



De bijbehorende disassemblycode is als volgt:




Samengevat heeft het een "seven antis"-operatie, dat wil zeggen, wanneer er de volgende beveiligingsanalysetools of -processen zijn, sluit het automatisch af om te voorkomen dat het wordt geanalyseerd door de sandboxomgeving of beveiligingspersoneel.


De eerste anti: anti-sandbox


Anti-sandbox-bestanden:

SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe

De tweede anti: anti-debugging


Anti-debugbestanden:

WinDbg.exe, OllyDBG.exe, OllyICE.exe, Immuniteit De

bugger.exe,

x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe

De derde anti: anti-gedragsmonitoring


Anti-gedragsmonitoringsbestanden:

RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,

ProcessHacker.exe,sysAnalyzer.exe,

Proc_Analyzer.exe,Proc_Watch.exe,

Sniff_Hit.exe

De vierde anti: anti-netwerksurveillance


Anti-netwerkmonitoringsbestanden:

Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe

Vijfde antithese: demontage


Demontagedocumenten:

IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe

Zesde anti: anti-documentanalyse


Anti-bestandsanalysebestanden:

PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe

Zevende anti: anti-beveiligingsanalyse


Anti-beveiligingsanalysesoftware:

HRSword.exe,

HipsDaemon.exe,ZhuDongFangYu.exe,

QQPCRTP.exe,PCHunter32.exe,

PCHunter64.exe

Wijdverspreide moorden

Om de winst te maximaliseren voert EnMiner Mining de "PentaKill"-operatie uit.


De eerste kill: de dienst doden


Stop alle serviceprocessen die in de weg staan (alle killing-operaties worden uitgevoerd in de Killer-module).


Tweede kill: Kill plan missie


Alle soorten geplande taken, verspilling van systeembronnen (CPU-bronnen waar mining zich het meest zorgen over maakt), zullen worden gedood.


De derde dood: het virus doden


EnMiner heeft antivirus. Is het om goede daden te verrichten?


Natuurlijk niet, net als WannaCry 2.0 zal WannaCry 2.1 blauwe schermen veroorzaken, chantage veroorzaken en zeker invloed hebben op EnMiner-mijnbouw, en ze zullen worden gedood.


Een ander voorbeeld is het BillGates DDoS-virus, dat een DDoS-functie heeft, wat zeker invloed zal hebben op EnMiner-mijnbouw, en het zal allemaal worden uitgeschakeld.


Vierde kill: dood je leeftijdsgenoten


Peers zijn vijanden, één machine mag niet twee mijnen mijnen, en EnMiner staat niet toe dat anderen het "mijnen" met hem overnemen. Alle soorten mijnvirussen op de markt, kom er één tegen en dode er één.


Om ervoor te zorgen dat peers volledig dood zijn, worden extra processen via poorten (veelgebruikte poorten voor mining) beëindigd.



De vijfde moord: zelfmoord


Zoals eerder vermeld, wanneer EnMiner ontdekt dat er relevante beveiligingsanalysetools zijn, trekt het zich terug, dat wil zeggen het pak, dat is de maximale weerstand tegen analyse.



Ga liggen en mijn

EnMiner Miner, dat de operatie "seven anti-five kills" heeft uitgevoerd, heeft geen concurrenten en mijnt in feite liggend. Daarnaast kan het mijnvirion lsass.eXe worden geregenereerd vanuit WMI via Base64-decoding. Dit betekent dat als je alleen lsass.eXe doodt, WMI elke 1 uur regenereert en je liggend kunt minen.


Tot nu toe heeft het virus Monero gemijnd, en het virus bevindt zich in de vroege fase van de uitbraak, en Sangfor herinnert gebruikers eraan de preventie te versterken.



oplossing

1. Isoleer de geïnfecteerde host: Isoleer de geïnfecteerde computer zo snel mogelijk, sluit alle netwerkverbindingen en schakel de netwerkkaart uit.


2. Bevestig het aantal infecties: Het wordt aanbevolen om Sangfor's next-generation firewall of security awareness platform te gebruiken voor netwerkbrede bevestiging.


3. Verwijder WMI-uitzonderingsopstartitems:


Gebruik de Autoruns-tool (downloadlink is:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), zoek de abnormale WMI-opstart en verwijder die.


4. Controleren en doden virussen


5. Patch kwetsbaarheden: Als er kwetsbaarheden in het systeem zijn, patch deze dan op tijd om te voorkomen dat virussen misbruiken.


6. Wachtwoord wijzigen: Als het wachtwoord van het hostaccount zwak is, wordt aanbevolen het wachtwoord met hoge kracht te resetten om te voorkomen dat het wordt gebruikt door blasten.





Vorig:Entity Framework voegt unieke beperkingen toe
Volgend:asp.net Voer de 403-foutoplossing uit

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com