[Анализ вирусов] Предупреждение о высокой энергии! Будьте осторожны с майнингом EnMiner

Недавно Сангфор обнаружил новый тип майнингового вируса с высокоинтенсивным поведением при противостоянии вирусов, и его механизм вируса сильно отличается от механизма традиционного майнинга. В настоящее время вирус находится на ранней стадии вспышки, и Сангфор назвал вирус EnMiner mining virus, продолжит отслеживать его развитие и разрабатывать подробные меры противодействия.

Этот вирус EnMiner — самый «смертоносный» майнинговый вирус, с которым сталкивался на сегодняшний день, и обладает высокоинтенсивным противостоянием вирусов, что можно назвать «семь анти-пятёрных убийств». Он способен использовать антипесочницу, отладку, антиповеденческий мониторинг, антисетевой мониторинг, разбор, антифайловый анализ, анти-безопасность и одновременное уничтожение сервисов, планирование, антивирусы, аналогичный майнинг и даже самоубийство в максимальной степени анализа сопротивления!     

Анализ вирусов

Сценарий атаки

Атака на вирус EnMiner можно описать как подготовленную, и она сделала достаточно, чтобы уничтожить диссидентов и бороться с анализом.

Как показано на рисунке выше, lsass.eXe является майнинговым вирионом (в каталоге C:\Windows\temp) и отвечает за майнинговые функции. Скрипты Powershell зашифрованы на базе 64 и существуют в WMI, с тремя модулями: Main, Killer и StartMiner. Главный модуль отвечает за запуск, Убийца — за уничтожение сервиса и процесса, а СтартМайнер — за запуск майнинга. Детали следующие:

Во-первых, если есть аномальный элемент WMI, PowerShell запускается в запланированное время и автоматически запускается раз в 1 час согласно заявлению WQL.

Определите, существует ли файл lsass.eXe, и если нет — он будет читать WMI

root\cimv2: PowerShell_Command свойство EnMiner в классе и декодирование и запись Base64 в lsass.eXe.

После выполнения всех процессов начинается майнинг.

Продвинутое противостояние

Помимо функций майнинга, сам майнинговый вирус lsass.eXe также обладает продвинутым враждебным поведением, то есть делает всё возможное, чтобы предотвратить анализ ПО безопасности или сотрудников безопасности.

lsass.eXe создаёт поток с сильными состязательными операциями, подобным этому:

Пройдитесь по процессу и обнаружите, что существует связанный процесс (например, процесс песочницы SbieSvc.exe обнаружен) и завершите себя:

Соответствующий код дизассемблирования выглядит следующим образом:

В итоге, у него есть операция «семь антис», то есть, когда используются следующие инструменты или процессы анализа безопасности, он автоматически выходит из системы, чтобы предотвратить анализ со стороны песочницы или сотрудников безопасности.

Первый анти: анти-песочница

Антипесочницы:

Второе анти: антиотладка

Антиотладочные файлы:

Третий анти: антиповеденческий мониторинг

Файлы мониторинга антиповедения:

Четвёртый анти: анти-сетевое наблюдение

Файлы мониторинга антисети:

Пятая антитеза: разборка

Документы по разборке:

Шестое анти: антидокументальный анализ

Файлы анализа антифайлов:

Седьмой антианализ: анти-анализ безопасности

Программное обеспечение для анализа антибезопасности:

Массовые убийства

Для максимизации прибыли EnMiner Mining проводит операцию «PentaKill».

Первое убийство: уничтожить сервис

Отключить все сервисные процессы, которые мешают (все операции по уничтожению выполняются в модуле Killer).

Второе убийство: миссия по плану уничтожения

Все виды запланированных задач, тратящих системные ресурсы (ресурсы процессора, которые больше всего волнуют майнинг), будут уничтожены.

Третье убийство: уничтожить вирус

В EnMiner есть антивирус. Это ради добрых дел?

Конечно, нет, как и WannaCry 2.0, WannaCry 2.1 вызовет синие экраны, шантаж и точно повлияет на майнинг EnMiner, и их убьют.

Другой пример — вирус BillGates DDoS, который функционирует DDoS, который определённо повлияет на майнинг EnMiner, и всё это будет уничтожено.

Четвёртое убийство: убей своих товарищей

Пэры — враги, одна машина не имеет права добывать две шахты, а EnMiner не позволяет другим заниматься «майнингом». Все виды майнинговых вирусов на рынке, встретите одного и уничтожьте одного.

Чтобы гарантировать полное мертво пиров, дополнительные процессы отключаются через порты (часто используемые порты для майнинга).

Пятое убийство: самоубийство

Как уже упоминалось, когда EnMiner обнаруживает наличие релевантных инструментов для анализа безопасности, он отнимает масть, то есть масть, которая является максимальным сопротивлением анализу.

Ложись, и мой

EnMiner Miner, провёлшая операцию «семь анти-пятёрки», не имеет конкурентов и фактически добывает, лежа. Кроме того, майнинговый вирион lsass.eXe может быть регенерирован из WMI с помощью декодирования Base64. Это значит, что если убить только lsass.eXe, WMI будет восстанавливаться каждые час, и можно добывать лёжа.

До сих пор вирус проникал в Monero, и вирус находится на ранних стадиях вспышки, и Сангфор напоминает пользователям усиливать профилактику.

решение

1. Изолировать заражённый хост: как можно скорее изолировать заражённый компьютер, закрыть все сетевые соединения и отключить сетевую карту.

2. Подтвердить количество заражений: рекомендуется использовать платформу Sangfor следующего поколения фаервола или платформу повышения осведомленности о безопасности для подтверждения на уровне всей сети.

3. Удалить элементы запуска исключений WMI:

Используйте инструмент Autoruns (ссылка для скачивания:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), найдите ненормальный запуск WMI и удалите его.

4. Проверьте и уничтожьте вирусы

5. Патчить уязвимости: Если в системе есть уязвимости, своевременно их патчите, чтобы избежать использования вирусами.

6. Изменение пароля: если пароль от аккаунта хоста слаб, рекомендуется сбросить пароль с высокой степенью, чтобы избежать использования при взрывной загрузке.