Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Alte tehnologii Ofensivă și defensivă sigură Avertizare de energie ridicată! Fii atent la mineritul EnMiner
Vedere: 14273|Răspunde: 0

[Analiză Virus] Avertizare de energie ridicată! Fii atent la mineritul EnMiner

[Copiază linkul]
Postat pe 26.06.2018 09:46:47 | | | |

Recent, Sangfor a descoperit un nou tip de virus minier cu comportament de confruntare cu virusuri de intensitate ridicată, iar mecanismul său vicial este foarte diferit de cel al mineritului convențional. În prezent, virusul se află în stadiile incipiente ale focarului, iar Sangfor a numit virusul EnMiner mining virus și va continua să urmărească dezvoltarea acestuia și să formuleze contramăsuri detaliate.


Acest virus EnMiner este cel mai "ucigaș" virus de minerit întâlnit până acum și are un comportament de confruntare cu virusul de intensitate ridicată, care poate fi numit "șapte anti-cinci ucideri". Poate face anti-sandbox, anti-depanare, anti-monitorizare comportamentală, anti-monitorizare de rețea, dezasamblare, anti-analiză de fișiere, analiză anti-securitate și eliminarea simultană a serviciilor, planificarea sarcinilor, antivirusuri, minerit similar și chiar sinuciderea în cea mai mare măsură a comportamentului de analiză a rezistenței!     


Analiza virusurilor

Scenariu de atac

Atacul virusului EnMiner poate fi descris ca fiind pregătit și a făcut suficient pentru a ucide disidenți și a combate analiza.

Așa cum se arată în figura de mai sus, lsass.eXe este un viron de minerit (în directorul C:\Windows\temp) și este responsabil pentru funcțiile de minerit. Scripturile Powershell sunt criptate base64 și există în WMI, cu trei module: Main, Killer și StartMiner. Modulul principal este responsabil pentru pornire, Killer este responsabil pentru oprirea serviciului și procesului, iar StartMiner-ul este responsabil pentru începerea mineritului. Detaliile sunt următoarele:


În primul rând, dacă apare un element WMI anormal, PowerShell va fi pornit la o oră programată și va fi declanșat automat o dată la 1 oră, conform declarației WQL.


Determină dacă fișierul lsass.eXe există, iar dacă nu, va citi WMI


root\cimv2: PowerShell_Command proprietatea EnMiner în clasă și decodarea și scrierea Base64 în lsass.eXe.


Odată ce toate procesele sunt executate, începe mineritul.


Confruntare avansată

Pe lângă funcțiile de minerit, virusul minier lsass.eXe are și un comportament adversarial avansat, adică face tot posibilul pentru a împiedica software-ul de securitate sau personalul de securitate să-l analizeze.


lsass.eXe creează un fir de discuție cu operațiuni adversariale puternice ca aceasta:


Iterați procesul și descoperiți că există un proces înrudit (de exemplu, procesul sandbox SbieSvc.exe descoperit) și încheiați-vă:



Codul de dezasamblare corespunzător este următorul:




În concluzie, are o operațiune "seven antis", adică atunci când există următoarele instrumente sau procese de analiză a securității, va ieși automat pentru a preveni analiza de către mediul sandbox sau personalul de securitate.


Primul anti: anti-sandbox


Fișiere anti-sandbox:

SbieSvc.exe, SbieCtrl.exe, JoeBoxControl.exe, JoeBoxServer.exe

Al doilea anti: anti-debugging


Fișiere anti-depanare:

WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImunitateDe

bugger.exe,

x32dbg.exe, x64dbg.exe, win32_remote.exe, win64_remote64.exe

Al treilea contra: monitorizarea anti-comportament


Fișiere de monitorizare anti-comportament:

RegMon.exe, RegShot.exe, FileMon.exe, ProcMon.exe, AutoRuns.exe, AutoRuns64.exe, taskmgr.exe, PerfMon.exe, ProcExp.exe, ProExp64.exe,

ProcessHacker.exe.sysAnalyzer.exe,

Proc_Analyzer.exe.Proc_Watch.exe,

Sniff_Hit.exe

Al patrulea contra: supravegherea anti-rețea


Fișiere de monitorizare anti-rețea:

Wireshark.exe, DumpCap.exe, TShark.exe, APorts.exe, TcpView.exe

A cincea antiteză: dezasamblarea


Documente de dezasamblare:

IDAG.exe, IDAG64.exe, IDAQ.exe, IDAQ64.exe

Al șaselea contra: analiza anti-documente


Fișiere de analiză anti-fișier:

PEiD.exe, WinHex.exe, LordPE.exe, PEditor.exe, Stud_PE.exe, ImportREC.exe

Al șaptelea anti: analiză anti-securitate


Software de analiză anti-securitate:

HRSword.exe,

HipsDaemon.exe.ZhuDongFangYu.exe,

QQPCRTP.exe.PCHunter32.exe,

PCHunter64.exe

Ucideri pe scară largă

Pentru a maximiza profiturile, EnMiner Mining execută operațiunea "PentaKill".


Prima ucidere: opriți serviciul


Opriți toate procesele de serviciu care stau în cale (toate operațiunile de oprire se realizează în modulul Killer).


A doua ucidere: Misiunea planului de ucidere


Tot felul de sarcini planificate, risipirea resurselor sistemului (resursele CPU care sunt cele mai preocupate de minerit), vor fi distruse.


A treia ucidere: uciderea virusului


EnMiner are antivirus. Este pentru a face fapte bune?


Desigur că nu, la fel ca WannaCry 2.0, WannaCry 2.1 va cauza ecrane albastre, șantaj și cu siguranță va afecta mineritul EnMiner, iar aceștia vor fi uciși.


Un alt exemplu este virusul DDoS BillGates, care are funcție DDoS, ce cu siguranță va afecta mineritul EnMiner și totul va fi ucis.


A patra ucidere: ucide-ți colegii


Egalii sunt inamici, o singură mașină nu are voie să exploateze două mine, iar EnMiner nu permite altora să preia "minarea" cu ea. Tot felul de virusuri de minerit de pe piață, întâlnești unul și omori unul.


Pentru a se asigura că partenerii sunt complet morți, procese suplimentare sunt eliminate prin porturi (porturi folosite frecvent pentru minerit).



A cincea crimă: sinuciderea


După cum s-a menționat anterior, când EnMiner descoperă că există instrumente relevante de analiză a securităților, va retrage, adică va retrage procesul, care este rezistența maximă la analiză.



Întinde-te și al meu

EnMiner Miner, care a desfășurat operațiunea "șapte atacuri anti-cinci", nu are concurenți și practic minează deoparte. În plus, virusul de minerit lsass.eXe poate fi regenerat din WMI prin decodare Base64. Asta înseamnă că dacă omori doar lsass.eXe, WMI se va regenera la fiecare 1 oră și poți mina întins.


Până acum, virusul a exploatat Monero, iar virusul se află în stadiile incipiente ale izbucnirii, iar Sangfor reamintește utilizatorilor să întărească prevenția.



soluție

1. Izolați gazda infectată: Izolați calculatorul infectat cât mai repede posibil, închideți toate conexiunile de rețea și dezactivați placa de rețea.


2. Confirmarea numărului de infecții: Se recomandă utilizarea firewall-ului de nouă generație sau platforma de conștientizare a securității Sangfor pentru confirmarea la nivelul întregii rețele.


3. Șterge elementele de pornire ale excepțiilor WMI:


Folosește instrumentul Autoruns (linkul de descărcare este:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), găsește pornirea anormală a WMI și șterge-o.


4. Verificarea și eliminarea virușilor


5. Corectează vulnerabilitățile: Dacă există vulnerabilități în sistem, corectează-le la timp pentru a evita exploatarea de viruși.


6. Schimbarea parolei: Dacă parola contului gazdă este slabă, se recomandă resetarea parolei de înaltă putere pentru a evita folosirea prin blasting.





Precedent:Entity Framework adaugă constrângeri unice
Următor:asp.net Rulează soluția de eroare 403

Postări conexe
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com