[Análise de Vírus] Alerta de alta energia! Fique atento à mineração com EnMiner

Recentemente, Sangfor descobriu um novo tipo de vírus de mineração com comportamento de confronto viral de alta intensidade, e seu mecanismo viral é muito diferente do da mineração convencional. Atualmente, o vírus está nos estágios iniciais do surto, e a Sangfor nomeou o vírus de EnMiner mining virus, continuando a monitorar seu desenvolvimento e formular contramedidas detalhadas.

Esse vírus EnMiner é o vírus de mineração mais "assassino" encontrado até agora, e possui um comportamento de confronto viral de alta intensidade, que pode ser chamado de "sete anti-cinco mortes". Pode anti-sandbox, anti-depuração, anti-monitoramento de comportamento, anti-monitoramento de rede, desmontagem, anti-análise de arquivos, anti-análise de segurança e eliminação simultânea de serviços, planejamento de tarefas, antivírus, mineração semelhante e até suicídio na maior extensão do comportamento de análise de resistência!     

Análise de vírus

Cenário de ataque

O ataque do vírus EnMiner pode ser descrito como preparado, e já fez o suficiente para matar dissidentes e combater análises.

Como mostrado na figura acima, lsass.eXe é um virion de mineração (no diretório C:\Windows\temp) e é responsável pelas funções de mineração. Scripts Powershell são criptografados base64 e existem em WMI, com três módulos: Main, Killer e StartMiner. O módulo principal é responsável pelo início, o Killer é responsável por encerrar o serviço e o processo, e o StartMiner é responsável por iniciar a mineração. Os detalhes são os seguintes:

Primeiro, se houver um item anormal do WMI, o PowerShell será iniciado em um horário programado e será acionado automaticamente a cada 1 hora, de acordo com a declaração WQL.

Determine se o arquivo lsass.eXe existe, e se não existir, ele vai ler o WMI

root\cimv2: PowerShell_Command a propriedade EnMiner na classe e Base64 decodificando e escrevendo em lsass.eXe.

Uma vez que todos os processos são executados, a mineração começa.

Confronto avançado

Além das funções de mineração, o vírus de mineração lsass.eXe também possui comportamento adversário avançado, ou seja, faz tudo o que pode para impedir que softwares de segurança ou pessoal de segurança o analisem.

o lsass.eXe cria um thread com operações adversariais fortes como esta:

Itere pelo processo e veja que existe um processo relacionado (por exemplo, o processo sandbox SbieSvc.exe descoberto) e termine por si só:

O código de desmontagem correspondente é o seguinte:

Em resumo, possui uma operação "sete antis", ou seja, quando existem as seguintes ferramentas ou processos de análise de segurança, ele sai automaticamente para evitar que seja analisado pelo ambiente sandbox ou pelo pessoal de segurança.

O primeiro anti: anti-sandbox

Arquivos anti-sandbox:

O segundo anti: anti-depuração

Arquivos anti-depuração:

O terceiro contra: monitoramento anti-comportamento

Arquivos de monitoramento anticomportamento:

O quarto anti: anti-vigilância de rede

Arquivos de monitoramento anti-rede:

Quinta antítese: desmontagem

Documentos de desmontagem:

Sexto contra: análise anti-documento

Arquivos de análise anti-arquivo:

Sétimo contra: análise anti-segurança

Software de análise anti-segurança:

Assassinatos generalizados

Para maximizar lucros, a EnMiner Mining executa a operação "PentaKill".

A primeira eliminação: acabar com o serviço

Elimine todos os processos de serviço que atrapalhem (todas as operações de eliminação são realizadas no módulo Killer).

Segunda eliminação: missão do plano de eliminação

Todo tipo de tarefas planejadas, desperdiçando recursos do sistema (recursos da CPU que mais preocupam com a mineração), serão eliminados.

A terceira eliminação: matar o vírus

O EnMiner tem antivírus. É para fazer boas ações?

Claro que não, assim como WannaCry 2.0, WannaCry 2.1 vai causar telas azuis, chantagem e certamente vai afetar a mineração de EnMiner, e eles serão eliminados.

Outro exemplo é o vírus DDoS BillGates, que tem função DDoS, que certamente afetará a mineração EnMiner, e tudo será eliminado.

Quarta eliminação: mate seus pares

Pares são inimigos, uma máquina não pode minerar duas minas, e o EnMiner não permite que outros assumam o negócio de "mineração" com ela. Todos os tipos de vírus de mineração no mercado, encontre um e mate um.

Para garantir que os pares estejam completamente mortos, processos adicionais são eliminados por meio de portas (portas comumente usadas para mineração).

A quinta morte: suicídio

Como mencionado anteriormente, quando o EnMiner descobre que existem ferramentas relevantes de análise de segurança, ele será retirado, ou seja, o processo, que é a maior resistência à análise.

Deite e seja meu

A EnMiner Miner, que realizou a operação "sete abates anti-cinco", não tem concorrentes e basicamente mina de braços cruzados. Além disso, o virion de mineração lsass.eXe pode ser regenerado a partir do WMI via decodificação Base64. Isso significa que, se você matar apenas o lsass.eXe, o WMI vai se regenerar a cada 1 hora e você pode minerar deitado.

Até agora, o vírus minerou o Monero, e ele está atualmente nos estágios iniciais do surto, e a Sangfor lembra os usuários de fortalecer a prevenção.

solução

1. Isolar o host infectado: Isole o computador infectado o mais rápido possível, feche todas as conexões de rede e desative a placa de rede.

2. Confirmar o número de infecções: Recomenda-se usar o firewall de próxima geração ou plataforma de conscientização de segurança da Sangfor para confirmação em toda a rede.

3. Exclua itens de inicialização de exceções do WMI:

Use a ferramenta Autoruns (link para download é:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), encontre a inicialização anormal do WMI e a exclua.

4. Verificar e eliminar vírus

5. Corrigir vulnerabilidades: Se houver vulnerabilidades no sistema, corriga-as a tempo para evitar serem exploradas por vírus.

6. Altere a senha: Se a senha da conta do host for fraca, recomenda-se resetar a senha de alta força para evitar ser usada por blasting.