|
Nedávno Sangfor objavil nový typ ťažobného vírusu s vysoko intenzívnym správaním pri konfrontácii s vírusom, pričom jeho mechanizmus vírusu sa výrazne líši od konvenčného ťaženia. V súčasnosti je vírus v počiatočných štádiách epidémie a Sangfor pomenoval vírus EnMiner mining virus a bude naďalej sledovať jeho vývoj a formulovať podrobné protiopatrenia.
Tento vírus EnMiner je doteraz naj"vražednejším" baníckym vírusom, s ktorým sa stretol, a má vysoko intenzívne konfrontačné správanie, ktoré možno nazvať "sedem anti-päť zabití". Dokáže anti-sandbox, anti-ladenie, monitorovanie správania, monitorovanie sietí, demontáž, analýzu súborov, analýzu bezpečnosti a súčasné zabíjanie služieb, plánovanie úloh, antivírusy, podobné ťaženie a dokonca samovraždy v najväčšej miere analýzy odporu!
Analýza vírusov Scenár útoku Útok vírusu EnMiner možno opísať ako pripravený a urobil dosť na zabitie disidentov a analýzu bojov.
Ako je znázornené na obrázku vyššie, lsass.eXe je ťažobný virion (v adresári C:\Windows\temp) a je zodpovedný za ťažobné funkcie. Powershell skripty sú šifrované base64 a existujú vo WMI s tromi modulmi: Main, Killer a StartMiner. Hlavný modul je zodpovedný za spustenie, Killer za ukončenie služby a procesu a StartMiner za spustenie ťažby. Podrobnosti sú nasledovné:
Po prvé, ak sa objaví abnormálna WMI položka, PowerShell sa spustí v plánovanom čase a automaticky sa spustí raz za hodinu podľa príkazu WQL.
Zistite, či súbor lsass.eXe existuje, a ak nie, prečíta si WMI
root\cimv2: PowerShell_Command vlastnosť EnMiner v triede a Base64 dekódovanie a zápis do lsass.eXe.
Keď sú všetky procesy vykonané, začína ťažba.
Pokročilá konfrontácia Okrem ťažobných funkcií má ťažobný vírus lsass.eXe aj pokročilé adversariálne správanie, teda robí všetko pre to, aby zabránil bezpečnostnému softvéru alebo bezpečnostnému personálu v jeho analýze.
lsass.eXe vytvára vlákno so silnými adversariálnymi operáciami takto:
Prejdite procesom a zistite, že existuje súvisiaci proces (napr. sandboxový proces SbieSvc.exe objavený) a sám sa ukončíte:
Príslušný disassemblovací kód je nasledovný:
Na záver, má operáciu "sedem antis", teda keď sú k dispozícii nasledujúce nástroje alebo procesy na bezpečnostnú analýzu, automaticky sa ukončí, aby zabránil jeho analýze zo strany prostredia sandboxu alebo bezpečnostného personálu.
Prvý anti: anti-sandbox
Anti-sandboxové súbory: SbieSvc.exe SbieCtrl.exe, JoeBoxControl.exe JoeBoxServer.exe Druhý anti: anti-ladenie
Anti-debug súbory: WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe x64dbg.exe win32_remote.exe win64_remote64.exe Tretia anti: anti-behaviorálne monitorovanie
Súbory monitorovania proti správaniu: RegMon.exe RegShot.exe FileMon.exe ProcMon.exe, AutoRuns.exe, AutoRuns64.exe, taskmgr.exe PerfMon.exe, ProcExp.exe ProExp64.exe,
ProcessHacker.exe sysAnalyzer.exe,
Proc_Analyzer.exe Proc_Watch.exe,
Sniff_Hit.exe Štvrtý proti: anti-sieťový dohľad
Anti-sieťové monitorovacie súbory: Wireshark.exe DumpCap.exe, TShark.exe, APorts.exe TcpView.exe Piata antitéza: rozobratie
Dokumenty o rozobratí: IDAG.exe IDAG64.exe, IDAQ.exe IDAQ64.exe Šieste proti: analýza anti-dokumentov
Anti-súborové analytické súbory: PEiD.exe WinHex.exe, LordPE.exe, PEditor.exe, Stud_PE.exe ImportREC.exe Siedmy proti: anti-bezpečnostná analýza
Softvér na analýzu proti bezpečnosti: HRSword.exe,
HipsDaemon.exe ZhuDongFangYu.exe,
QQPCRTP.exe PCHunter32.exe,
PCHunter64.exe Rozsiahle zabíjanie Aby maximalizovala zisk, EnMiner Mining realizuje operáciu "PentaKill".
Prvé zabitie: zabiť službu
Zrušte všetky servisné procesy, ktoré prekážajú (všetky zabíjacie operácie sa vykonávajú v module Killer).
Druhé zabitie: Misia s plánom zabitia
Všetky možné plánované úlohy, plytvanie systémovými zdrojmi (CPU zdrojmi, o ktoré sa ťažba najviac obáva), budú zničené.
Tretie zabitie: zabiť vírus
EnMiner má antivírus. Je to robiť dobré skutky?
Samozrejme, že nie, rovnako ako WannaCry 2.0, aj WannaCry 2.1 spôsobí modré obrazovky, vydieranie a určite ovplyvní ťažbu EnMinerov, ktorí budú zničení.
Ďalším príkladom je DDoS vírus BillGates, ktorý má DDoS funkciu, čo určite ovplyvní ťažbu EnMineru a všetko bude zničené.
Štvrté zabitie: zabite svojich rovesníkov
Partneri sú nepriatelia, jeden stroj nesmie ťažiť dve bane a EnMiner nedovolí iným, aby s ním prevzali "ťažbu". Všetky druhy ťažobných vírusov na trhu, narazíte na jeden a zabijete druhého.
Aby sa zabezpečilo, že partneri sú úplne mŕtvi, ďalšie procesy sú zablokované cez porty (bežne používané porty na ťažbu).
Piata vražda: samovražda
Ako už bolo spomenuté, keď EnMiner zistí, že existujú relevantné nástroje na analýzu bezpečnosti, stiahne sa, teda zúčastní sa, čo je maximálna odolnosť voči analýze.
Ľahni si a môj. EnMiner Miner, ktorý vykonal operáciu "sedem anti-päť zabití", nemá konkurenciu a v podstate bane leží. Okrem toho je možné ťažobný virion lsass.eXe regenerovať z WMI pomocou Base64 dekódovania. To znamená, že ak zabiješ len lsass.eXe, WMI sa bude regenerovať každú hodinu a môžeš ťažiť v ležaní.
Doteraz vírus ťažil Monero a momentálne je v počiatočných štádiách epidémie, pričom Sangfor pripomína používateľom, aby posilnili prevenciu.
riešenie 1. Izolujte infikovaného hostiteľa: Izolujte infikovaný počítač čo najskôr, uzavrite všetky sieťové pripojenia a deaktivujte sieťovú kartu.
2. Potvrdiť počet infekcií: Odporúča sa použiť firewall novej generácie Sangforu alebo platformu na bezpečnostné povedomie na overenie celej siete.
3. Vymazať počiatočné položky výnimky vo WMI:
Použite nástroj Autoruns (odkaz na stiahnutie je:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), nájdite abnormálny štart WMI a vymažte ho.
4. Skontrolovať a zlikvidovať vírusy
5. Záplatné zraniteľnosti: Ak sú v systéme zraniteľnosti, opravte ich včas, aby ste sa vyhli zneužitiu vírusmi.
6. Zmena hesla: Ak je heslo hostiteľského účtu slabé, odporúča sa resetovať silné heslo, aby sa zabránilo použitiu blastingom. | 
Zverejnené 26. 6. 2018 9:46:47
|
|
|
|
