[Virusanalys] Högenergivarning! Var försiktig med EnMiner-gruvdrift

Nyligen upptäckte Sangfor en ny typ av gruvvirus med högintensiv viruskonfrontationsbeteende, och dess virusmekanism skiljer sig mycket från konventionell gruvdrift. För närvarande befinner sig viruset i ett tidigt skede av utbrottet, och Sangfor har döpt viruset till EnMiner mining virus och kommer att fortsätta följa dess utveckling och formulera detaljerade motåtgärder.

Detta EnMiner-virus är det mest "dödliga" gruvviruset som hittills påträffats, och har ett högintensivt viruskonfrontationsbeteende, vilket kan kallas "sju anti-fem-dödande". Det kan anti-sandboxa, anti-felsökning, anti-beteendeövervakning, anti-nätverksövervakning, demontering, anti-filanalys, anti-säkerhetsanalys och samtidig avstängning av tjänster, planeringsuppgifter, antivirus, liknande mining och till och med självmord i största utsträckning av resistensanalysbeteende!     

Virusanalys

Attackscenario

EnMiner-virusattacken kan beskrivas som förberedd, och den har gjort tillräckligt för att döda dissidenter och bekämpa analys.

Som visas i figuren ovan är lsass.eXe en mining-virion (i C:\Windows\temp-katalogen) och ansvarar för mining-funktioner. Powershell-skript är base64-krypterade och finns i WMI, med tre moduler: Main, Killer och StartMiner. Huvudmodulen ansvarar för att starta, Killer ansvarar för att döda tjänsten och processen, och StartMiner ansvarar för att starta gruvdriften. Detaljerna är följande:

För det första, om det finns ett onormalt WMI-element, startas PowerShell vid en schemalagd tidpunkt, och det triggas automatiskt var timme enligt WQL-satsen.

Ta reda på om filen lsass.eXe finns, och om inte, kommer den att läsa WMI

root\cimv2: PowerShell_Command EnMiner-egenskapen i klassen och Base64 avkodar och skriver till lsass.eXe.

När alla processer är utförda börjar mining.

Avancerad konfrontation

Förutom mining-funktioner har miningviruset lsass.eXe också avancerat adversariebeteende, det vill säga det gör allt för att förhindra att säkerhetsprogramvara eller säkerhetspersonal analyserar det.

lsass.eXe skapar en tråd med starka adversariella operationer som dessa:

Iterera genom processen och hitta att det finns en relaterad process (t.ex. sandlådeprocessen SbieSvc.exe upptäckt) och avsluta sig själv:

Den motsvarande disassemblerkoden är följande:

Sammanfattningsvis har den en "sju antis"-funktion, det vill säga när det finns följande säkerhetsanalysverktyg eller processer, avslutar den automatiskt för att förhindra att den analyseras av sandlådemiljön eller säkerhetspersonal.

Den första anti: anti-sandlådan

Anti-sandlådefiler:

Det andra anti: anti-felsökning

Anti-debug-filer:

Den tredje anti-faktorn: anti-beteendeövervakning

Anti-beteendeövervakningsfiler:

Den fjärde anti-nätverksövervakningen

Anti-nätverksövervakningsfiler:

Femte antitesen: nedmontering

Demonteringsdokument:

Sjätte anti: anti-dokumentanalys

Antifilanalysfiler:

Sjunde anti: anti-säkerhetsanalys

Antisäkerhetsanalysprogramvara:

Omfattande dödande

För att maximera vinsten genomför EnMiner Mining operationen "PentaKill".

Den första döden: döda tjänsten

Döda alla serviceprocesser som står i vägen (alla dödsoperationer utförs i Killer-modulen).

Andra döden: Dödsplan-uppdraget

Alla möjliga planerade uppgifter, slöseri med systemresurser (CPU-resurser som gruvdriften är mest orolig för), kommer att dödas.

Den tredje döden: döda viruset

EnMiner har antivirus. Är det för att göra goda gärningar?

Självklart inte, precis som WannaCry 2.0 kommer WannaCry 2.1 att orsaka blåskärmar, utpressning och definitivt påverka EnMiner-gruvdrift, och de kommer att dö.

Ett annat exempel är BillGates DDoS-viruset, som har DDoS-funktion, vilket definitivt kommer att påverka EnMiner-gruvdrift, och allt kommer att dödas.

Fjärde döden: döda dina kamrater

Peers är fiender, en maskin får inte bryta två minor, och EnMiner tillåter inte andra att ta över "mining" med den. Alla möjliga gruvvirus på marknaden, stöt på ett och döda ett.

För att säkerställa att peers är helt döda dödas ytterligare processer via portar (vanliga portar för mining).

Det femte mordet: självmord

Som nämnts tidigare, när EnMiner upptäcker att det finns relevanta verktyg för säkerhetsanalys, drar de sig undan, det vill säga suit, vilket är det största motståndet mot analys.

Lägg dig ner och min

EnMiner Miner, som har genomfört operationen "sju anti-fem döda", har inga konkurrenter och gruvar i princip bara nere. Dessutom kan miningvirionen lsass.eXe regenereras från WMI via Base64-avkodning. Det betyder att om du bara dödar lsass.eXe, kommer WMI att regenerera var timme och du kan mina liggande.

Hittills har viruset brutit Monero, och viruset befinner sig i de tidiga stadierna av utbrottet, och Sangfor påminner användare om att stärka förebyggandet.

lösning

1. Isolera den infekterade värden: Isolera den infekterade datorn så snart som möjligt, stäng alla nätverksanslutningar och inaktivera nätverkskortet.

2. Bekräfta antalet infektioner: Det rekommenderas att använda Sangfors nästa generations brandvägg eller säkerhetsmedvetenhetsplattform för nätverksomfattande bekräftelse.

3. Ta bort WMI-undantagsstartobjekt:

Använd verktyget Autoruns (nedladdningslänken är:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), hitta den onormala WMI-starten och radera den.

4. Kontrollera och döda virus

5. Åtgärda sårbarheter: Om det finns sårbarheter i systemet, åtgärda dem i tid för att undvika att bli utnyttjade av virus.

6. Byt lösenord: Om värdkontots lösenord är svagt rekommenderas det att återställa det högstarka lösenordet för att undvika att det används av blast.