|
Son zamanlarda, Sangfor yüksek yoğunluklu virüs karşılaşma davranışına sahip yeni bir madencilik virüsü türü keşfetti ve virüs mekanizması geleneksel madencilikten çok farklıdır. Şu anda virüs salgının erken aşamalarında, Sangfor virüsü EnMiner madencilik virüsü olarak adlandırdı; gelişimini takip etmeye ve ayrıntılı karşı önlemler geliştirmeye devam edecek.
Bu EnMiner virüsü, şimdiye kadar karşılaşılan en "öldürücü" madencilik virüsüdür ve yüksek yoğunluklu virüs karşılaşma davranışına sahiptir; buna "yedi anti-beş öldürme" denebilir. Sandbox, hata ayıklama karşıtı, davranış izleme karşıtı, ağ izleme, sökme, dosya analizi, güvenlik analizi ve hizmetlerin eşzamanlı olarak öldürülmesi, planlama görevleri, virüs önleme, benzer madencilik ve hatta intihar gibi direnç analizi davranışlarının en büyük derecesine ulaşabilir!
Virüs analizi Saldırı senaryosu EnMiner virüsü saldırısı hazırlıklı olarak tanımlanabilir ve muhalifleri öldürmek ve analizle mücadele etmek için yeterince iş gördü.
Yukarıdaki şekilde gösterildiği gibi, lsass.eXe bir madencilik virionudur (C:\Windows\temp dizininde) ve madencilik fonksiyonlarından sorumludur. Powershell scriptleri base64 şifrelidir ve WMI'da üç modülden oluşur: Main, Killer ve StartMiner. Ana modül başlatmaktan sorumludur, Katil hizmeti ve süreci öldürmekten, StartMiner ise madenciliği başlatmaktan sorumludur. Detaylar şunlardır:
İlk olarak, anormal bir WMI öğesi varsa, PowerShell planlanmış bir zamanda başlatılır ve WQL ifadesine göre her 1 saatte bir otomatik tetiklenir.
lsass.eXe dosyasının var olup olmadığını belirleyin, yoksa WMI okuyacak
root\cimv2: sınıfta EnMiner özelliğini PowerShell_Command ve Base64 kod çözme ve lsass.eXe'ye yazma işlemi yapılıyor.
Tüm süreçler yürütüldükten sonra madencilik başlar.
İlerlemiş çatışma Madencilik işlevlerinin yanı sıra, madencilik virüsü lsass.eXe kendisi de gelişmiş düşman davranışına sahiptir; yani güvenlik yazılımlarının veya güvenlik personelinin bunu analiz etmesini engellemek için elinden gelen her şeyi yapar.
lsass.eXe, güçlü düşman işlemleriyle böyle bir iş parçacığı oluşturur:
Süreci yinelediğinizde ilgili bir süreç olduğunu (örneğin, sandbox süreci keşfedildi SbieSvc.exe) bulun ve kendini sonlandırın:
İlgili sökme kodu şu şekildedir:
Özetle, "yedi antis" bir operasyona sahiptir; yani, aşağıdaki güvenlik analiz araçları veya süreçleri olduğunda, kum havuzu ortamı veya güvenlik personeli tarafından analiz edilmesini önlemek için otomatik olarak çıkar.
İlk anti: anti-sandbox
Anti-sandbox dosyaları: SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe İkinci anti: hata ayıklama karşıtı
Anti-debug dosyaları: WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe Üçüncü anti: anti-davranış izleme
Anti-davranış izleme dosyaları: RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe Dördüncü anti-ağ gözetimi
Ağ karşıtı izleme dosyaları: Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe Beşinci antitez: sökülme
Söküm belgeleri: IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe Altıncı anti: anti-belge analizi
Anti-dosya analiz dosyaları: PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe Yedinci anti-güvenlik analizi
Güvenlik anti-analiz yazılımı: HRSword.exe,
HipsDaemon.exe,ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe Yaygın katliamlar Kârı maksimize etmek için EnMiner Mining "PentaKill" operasyonunu uygular.
İlk öldürme: servisi öldür
Engel olan tüm servis süreçlerini öldür (tüm öldürme işlemleri Killer modülünde gerçekleştirilir).
İkinci öldürme: Öldürme planı görevi
Her türlü planlı görev, sistem kaynaklarının (madenciliğin en çok endişe ettiği CPU kaynakları) israfı yok edilecek.
Üçüncü öldürme: virüsü öldürmek
EnMiner'da antivirüs var. İyi işler yapmak için mi?
Tabii ki hayır, WannaCry 2.0 gibi, WannaCry 2.1 mavi ekranlara, şantajlara yol açacak ve kesinlikle EnMiner madenciliğini etkileyecek, böylece onlar öldürülecek.
Bir diğer örnek ise BillGates DDoS virüsü, DDoS işlevine sahip, kesinlikle EnMiner madenciliğini etkileyecek ve hepsi yok olacak.
Dördüncü öldürme: Akranlarını öldür
Akranlar düşmandır, bir makinenin iki maden çıkarmasına izin verilmez ve EnMiner başkalarının onunla "madencilik" işini ele geçirmesine izin vermez. Piyasadaki her türlü madencilik virüsü var, birini karşılaşıp birini öldür.
Eşlerin tamamen ölü olmasını sağlamak için, ek süreçler portlar (madencilik için yaygın kullanılan portlar) üzerinden öldürülür.
Beşinci öldürme: intihar
Daha önce belirtildiği gibi, EnMiner ilgili güvenlik analiz araçları olduğunu keşfettiğinde, analiz için maksimum direnç olan suit (suit) geri çekilir.
Yat ve benim "Yedi anti-beş öldürme" operasyonunu gerçekleştiren EnMiner Miner'ın rakipleri yok ve neredeyse tamamen yere bakıyor. Ayrıca, madencilik virionu lsass.eXe WMI'dan Base64 kod çözme yoluyla yeniden oluşturulabilir. Bu, sadece lsass.eXe'yi öldürürseniz, WMI her 1 saatte bir yenilenir ve yatarak madencilik yapabilirsiniz.
Şimdiye kadar virüs Monero'yu madenci olarak kullandı ve virüs şu anda salgının erken aşamalarında, Sangfor kullanıcılara önlemeyi güçlendirmelerini hatırlatıyor.
çözüm 1. Enfekte olan ana bilgisayarı izole edin: Enfekte bilgisayarı mümkün olan en kısa sürede izole edin, tüm ağ bağlantılarını kapatın ve ağ kartını devre dışı bırakın.
2. Enfeksiyon sayısını onaylayın: Ağ genelinde doğrulama için Sangfor'un yeni nesil güvenlik duvarı veya güvenlik farkındalık platformunun kullanılması önerilir.
3. WMI İstisna Başlatma Öğelerini Sil:
Autoruns aracını kullanın (indirme bağlantısı:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), anormal WMI başlatmasını bulup sil.
4. Virüsleri kontrol et ve öldür
5. Yama zayıflıkları: Sistemde zafiyetler varsa, virüsler tarafından sömürülmemek için zamanında yamalayın.
6. Şifreyi değiştirin: Ana bilgisayar hesabı şifresi zayıfsa, yüksek güçlü şifrenin patlama ile kullanılmaması için sıfırlanması önerilir. | 
Yayınlandı 26.06.2018 09:46:47
|
|
|
|
