[Analiza wirusów] Uwaga o wysokiej energii! Uważaj na wydobycie EnMiner

Niedawno Sangfor odkrył nowy typ wirusa górniczego o wysokiej intensywności zachowania konfrontacyjnego z wirusem, a jego mechanizm wirusa jest bardzo różny od konwencjonalnego wydobycia. Obecnie wirus znajduje się na wczesnym etapie epidemii, a Sangfor nazwał wirusa EnMiner mining virus i będzie nadal śledzić jego rozwój oraz opracowywać szczegółowe środki zaradcze.

Ten wirus EnMiner jest najbardziej "morderczym" wirusem górniczym, z którym do tej pory napotkano, i wykazuje się zachowaniem konfrontacyjnym o wysokiej intensywności, które można nazwać "siedmioma anty-pięć zabójstw". Może zwalczać sandbox, debugowanie, monitorowanie zachowań, monitorowanie sieci, demontaż, analizę plików, analizę bezpieczeństwa oraz jednoczesne likwidowanie usług, planowanie zadań, antywirusy, podobne kopanie, a nawet samobójstwa w największym stopniu analizy zachowań oporowych!     

Analiza wirusów

Scenariusz ataku

Atak wirusa EnMiner można opisać jako przygotowany i zrobił wystarczająco dużo, by zabić dysydentów i analizować walkę.

Jak pokazano na powyższym rysunku, lsass.eXe jest virionem górniczym (w katalogu C:\Windows\temp) i odpowiada za funkcje wydobycia. Skrypty PowerShell są szyfrowane base64 i istnieją w WMI, składające się z trzech modułów: Main, Killer i StartMiner. Moduł główny odpowiada za rozpoczęcie, Zabójca za zabicie usługi i procesu, a StartMiner za rozpoczęcie wydobycia. Szczegóły są następujące:

Po pierwsze, jeśli pojawi się nieprawidłowy element WMI, PowerShell zostanie uruchomiony o ustalonej godzinie i automatycznie wywołany co godzinę zgodnie z wykałem WQL.

Sprawdź, czy plik lsass.eXe istnieje, a jeśli nie, odczyta on WMI

root\cimv2: PowerShell_Command właściwość EnMiner w klasie oraz dekodowanie i zapis w Base64 do lsass.eXe.

Gdy wszystkie procesy zostaną wykonane, rozpoczyna się wydobycie.

Zaawansowane konfrontacje

Oprócz funkcji wydobycia, sam wirus górnictwa lsass.eXe wykazuje również zaawansowane zachowania przeciwnika, czyli robi wszystko, by uniemożliwić oprogramowanie bezpieczeństwa lub personelowi ochrony jego analizę.

lsass.eXe tworzy wątek z silnymi operacjami adwersarnymi, takimi jak ta:

Przejdź przez proces i odkryj, że istnieje powiązany proces (np. proces sandbox SbieSvc.exe odkryty) i zakończ sam siebie:

Odpowiadający im kod demontażu wygląda następująco:

Podsumowując, posiada operację "siedem anty", czyli gdy dostępne są następujące narzędzia lub procesy analizy bezpieczeństwa, automatycznie wychodzi z programu, aby zapobiec analizie przez środowisko sandbox lub personel bezpieczeństwa.

Pierwszy anty: anty-sandbox

Pliki anty-sandboxowe:

Drugi anty: anty-debugowanie

Pliki antydebugujące:

Trzeci anty: anty-behawioralny monitoring

Pliki monitorujące zachowanie:

Czwarta anty: anty-sieciowa inwigilacja

Pliki monitorujące antysieciowe:

Piąta przeciwieństwo: rozkładanie na części

Dokumenty demontażowe:

Szósty anty: analiza antydokumentów

Pliki analizy antyplikowej:

Siódma anty: analiza antybezpieczeństwa

Oprogramowanie do analizy antybezpieczeństwa:

Powszechne zabijanie

Aby zmaksymalizować zyski, EnMiner Mining realizuje operację "PentaKill".

Pierwsze zabójstwo: zabicie służby

Wyłącz wszystkie procesy usługowe, które przeszkadzają (wszystkie operacje eliminacyjne wykonuje się w module Killer).

Drugie zabójstwo: Misja planu zabójstwa

Wszystkie zaplanowane zadania, marnując zasoby systemowe (zasoby CPU, które najbardziej się martwią), zostaną zniszczone.

Trzecie zabójstwo: zabicie wirusa

EnMiner ma antywirus. Czy to po to, by czynić dobre uczynki?

Oczywiście, że nie, podobnie jak WannaCry 2.0, WannaCry 2.1 spowoduje niebieskie ekrany, szantaż i na pewno wpłynie na wydobycie EnMinerów, a oni zostaną zabici.

Innym przykładem jest wirus DDoS BillGates, który ma funkcję DDoS, co na pewno wpłynie na wydobycie EnMinera i wszystko zostanie zniszczone.

Czwarte zabójstwo: zabij swoich rówieśników

Peerzy są wrogami, jedna maszyna nie może wydobywać dwóch kopalń, a EnMiner nie pozwala innym przejmować się "kopaniem" z nią. Na rynku są wszelkiego rodzaju wirusy wydobywcze, spotkasz jeden, zabij jednego.

Aby zapewnić całkowite martwe peery, dodatkowe procesy są zabijane przez porty (często używane do kopania).

Piąte zabójstwo: samobójstwo

Jak wspomniano wcześniej, gdy EnMiner odkryje, że istnieją odpowiednie narzędzia do analizy bezpieczeństwa, wycofa się, czyli będzie się wycofywał, czyli maksymalny opór wobec analizy.

Połóż się i podaj

EnMiner Miner, który przeprowadził operację "siedem anty-pięciu zabici", nie ma konkurencji i zasadniczo wydobywa kopalnie w pozycji nieruchomej. Dodatkowo, virion mining lsass.eXe może być regenerowany z WMI za pomocą dekodowania Base64. Oznacza to, że jeśli zabijesz tylko lsass.eXe, WMI będzie się regenerować co godzinę i możesz kopać na leżąco.

Do tej pory wirus wydobywał Monero, a obecnie znajduje się na wczesnym etapie epidemii, a Sangfor przypomina użytkownikom o wzmocnieniu profilaktyki.

rozwiązanie

1. Izoluj zainfekowanego hosta: Izoluj zainfekowany komputer tak szybko, jak to możliwe, zamknij wszystkie połączenia sieciowe i wyłącz kartę sieciową.

2. Potwierdzenie liczby infekcji: Zaleca się korzystanie z nowej generacji firewalla lub platformy świadomości bezpieczeństwa Sangfor, aby potwierdzić ogólnokrajową kontrolę w całej sieci.

3. Usuń elementy startowe wyjątków WMI:

Użyj narzędzia Autoruns (link do pobrania to:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), znajdź nieprawidłowy start WMI i usuń go.

4. Sprawdzanie i zwalczanie wirusów

5. Łatki w lukach: Jeśli w systemie występują luki, popraw je na czas, aby uniknąć wykorzystania przez wirusy.

6. Zmień hasło: Jeśli hasło do konta hosta jest słabe, zaleca się zresetowanie hasła o wysokiej mocy, aby uniknąć użycia przez blastowanie.