|
Nedavno je Sangfor odkril novo vrsto rudarskega virusa z visoko intenzivnim vedenjem pri soočanju z virusom, katerega mehanizem virusa je zelo drugačen od običajnega rudarjenja. Trenutno je virus v zgodnji fazi izbruha, Sangfor pa je virus poimenoval EnMiner mining virus in bo še naprej spremljal njegov razvoj ter oblikoval podrobne protiukrepe.
Ta virus EnMiner je najbolj "morilski" rudarski virus, s katerim smo se doslej srečali, in ima vedenje z visoko intenzivnostjo soočanja z virusom, ki ga lahko imenujemo "sedem anti-pet ubojev". Lahko izvaja proti peskovniku, proti razhroščevanju, proti vedenju, proti omrežnemu nadzoru, razčlenjevanju, analizi datotek, protivarnostni analizi in hkratnemu uničevanju storitev, načrtovanju nalog, protivirusom, podobnemu rudarjenju in celo samomoru do največje stopnje analize odpornosti!
Analiza virusov Scenarij napada Napad virusa EnMiner lahko opišemo kot pripravljen in je naredil dovolj za ubijanje disidentov ter analizo bojev.
Kot je prikazano na zgornji sliki, je lsass.eXe rudarski virion (v mapi C:\Windows\temp) in je odgovoren za rudarske funkcije. Powershell skripte so base64 šifrirane in obstajajo v WMI s tremi moduli: Main, Killer in StartMiner. Glavni modul je odgovoren za zagon, Killer za ukinitev storitve in procesa, StartMiner pa za začetek rudarjenja. Podrobnosti so naslednje:
Najprej, če pride do nenavadnega WMI elementa, se PowerShell začne ob dogovorjenem času in se samodejno sproži enkrat na eno uro glede na WQL izjavo.
Ugotovite, ali datoteka lsass.eXe obstaja, in če ne, bo prebrala WMI
root\cimv2: PowerShell_Command lastnost EnMiner v razredu in Base64 dekodiranje ter pisanje v lsass.eXe.
Ko so vsi procesi izvedeni, se začne rudarjenje.
Napredno spopadanje Poleg rudarskih funkcij ima rudarski virus lsass.eXe tudi napredno nasprotujoče vedenje, torej naredi vse, da prepreči varnostno programsko opremo ali varnostno osebje njegovo analizo.
lsass.eXe ustvari nit z močnimi nasprotujočimi si operacijami, kot je ta:
Iterirajte skozi proces in ugotovite, da obstaja soroden proces (npr. odkrit SbieSvc.exe je proces peskovnika) in se zaključite sami:
Ustrezna koda za razstavljanje je naslednja:
Povzemimo, ima operacijo "sedem antisov", kar pomeni, da ko so na voljo naslednja orodja ali procesi za varnostno analizo, samodejno izstopi, da prepreči analizo s strani okolja peskovnika ali varnostnega osebja.
Prvi anti: anti-peskovnik
Datoteke proti peskovniku: SbieSvc.exe SbieCtrl.exe, JoeBoxControl.exe JoeBoxServer.exe Drugi anti: anti-hroščevanje
Anti-debug datoteke: WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe x64dbg.exe win32_remote.exe win64_remote64.exe Tretji proti: protivedenjski nadzor
Datoteke za spremljanje vedenja: RegMon.exe RegShot.exe, FileMon.exe ProcMon.exe, AutoRuns.exe, AutoRuns64.exe, taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe sysAnalyzer.exe,
Proc_Analyzer.exe Proc_Watch.exe,
Sniff_Hit.exe Četrti proti: proti-mrežni nadzor
Datoteke za spremljanje proti omrežjem: Wireshark.exe DumpCap.exe, TShark.exe, APorts.exe TcpView.exe Peta antiteza: razstavljanje
Razstavljajoči dokumenti: IDAG.exe IDAG64.exe IDAQ.exe IDAQ64.exe Šesti anti: analiza anti-dokumentov
Datoteke za analizo proti datotekam: PEiD.exe WinHex.exe, LordPE.exe, PEditor.exe, Stud_PE.exe ImportREC.exe Sedmi anti: anti-varnostna analiza
Programska oprema za analizo proti varnosti: HRSword.exe,
HipsDaemon.exe ZhuDongFangYu.exe,
QQPCRTP.exe PCHunter32.exe,
PCHunter64.exe Množično ubijanje Da bi povečali dobiček, EnMiner Mining izvaja operacijo "PentaKill".
Prvi uboj: ubiti storitev
Ukini vse servisne procese, ki motijo (vse operacije ubijanja se izvajajo v modulu Killer).
Drugo uničenje: Misija načrta ubijanja
Vse vrste načrtovanih nalog, kar bo zapravljalo sistemske vire (CPU vire, ki jih rudarjenje najbolj skrbi), bo uničeno.
Tretja smrt: ubiti virus
EnMiner ima antivirus. Je to za dobra dela?
Seveda ne, tako kot WannaCry 2.0, bo tudi WannaCry 2.1 povzročil modre zaslone, izsiljevanje in zagotovo vplival na rudarjenje EnMinerjev, ki bodo uničeni.
Drug primer je BillGates DDoS virus, ki ima DDoS funkcijo, kar bo zagotovo vplivalo na rudarjenje EnMinerja in bo vse uničeno.
Četrti umor: ubij svoje vrstnike
Peerji so sovražniki, ena naprava ne sme rudariti dveh rudnikov, EnMiner pa ne dovoljuje drugim, da bi z njo prevzeli posel "rudarjenja". Vse vrste rudarskih virusov na trgu, naleti na enega in enega ubiti.
Da bi zagotovili, da so uporabniki popolnoma mrtvi, se dodatni procesi ustavijo prek vrat (pogosto uporabljenih priključkov za rudarjenje).
Peti umor: samomor
Kot je bilo že omenjeno, ko EnMiner odkrije, da obstajajo relevantna orodja za varnostno analizo, se bo umaknil, torej prilagodil, kar je največja odpornost na analizo.
Ulezi se in moj EnMiner Miner, ki je izvedel operacijo "sedem proti petim uničenjem", nima konkurence in praktično miruje. Poleg tega je mogoče rudarski virion lsass.eXe regenerirati iz WMI z dekodiranjem Base64. To pomeni, da če ubiješ samo lsass.eXe, se bo WMI regeneriral vsakih 1 uro in lahko rudariš leže.
Do zdaj je virus izkoriščal Monero, trenutno pa je virus v zgodnji fazi izbruha, Sangfor pa uporabnike opominja, naj okrepijo preventivo.
rešitev 1. Izolirajte okuženi gostitelj: Izolirajte okuženi računalnik čim prej, zaprite vse omrežne povezave in onemogočite omrežno kartico.
2. Preverite število okužb: Priporočljivo je uporabiti Sangforjev naslednji generacijski požarni zid ali platformo za varnostno ozaveščanje o celotnem omrežju.
3. Odstranite zagonske elemente WMI izjem:
Uporabite orodje Autoruns (povezava za prenos je:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), poišči nenavadno WMI zagon in ga izbriši.
4. Preverite in uničite viruse
5. Popravite ranljivosti: Če so ranljivosti v sistemu, jih pravočasno popravite, da se izognete izkoriščanju s strani virusov.
6. Spremeni geslo: Če je geslo za gostiteljski račun šibko, je priporočljivo ponastaviti močno geslo, da se prepreči uporaba z blastom. | 
Objavljeno na 26. 06. 2018 09:46:47
|
|
|
|
