|
Нещодавно Сангфор відкрив новий тип майнінгового вірусу з високоінтенсивною поведінкою конфронтації вірусів, і його механізм вірусу суттєво відрізняється від звичайного майнінгу. Наразі вірус перебуває на ранніх стадіях спалаху, і Sangfor назвала вірус EnMiner mining virus, і продовжить відстежувати його розвиток та розробляти детальні заходи протидії.
Цей вірус EnMiner є най«вбивчим» майнінговим вірусом, з яким стикалися досі, і має високоінтенсивну поведінку при конфронтації вірусів, яку можна назвати «сім анти-п'яти вбивств». Він може здійснювати антипісочницю, антиналагодження, антиповедінковий моніторинг, антимережевий моніторинг, розбирання, анти-файловий аналіз, антибезпековий аналіз і одночасне знищення сервісів, завдання планування, антивіруси, подібний майнінг і навіть самогубство у найбільшій мірі поведінки аналізу опору!
Аналіз вірусів Сценарій атаки Атаку на вірус EnMiner можна описати як підготовлену, і вона зробила достатньо, щоб знищити дисидентів і боротися з аналізом.
Як показано на рисунку вище, lsass.eXe є майнінговим віріоном (у каталозі C:\Windows\temp) і відповідає за майнінг функцій. Скрипти Powershell зашифровані за base64 і існують у WMI, з трьома модулями: Main, Killer і StartMiner. Головний модуль відповідає за запуск, Вбивця — за знищення сервісу та процесу, а СтартМайнер — за початок майнінгу. Деталі такі:
По-перше, якщо є аномальний елемент WMI, PowerShell запускається у запланований час, і він автоматично запускатиметься раз на 1 годину відповідно до заяви WQL.
Визначте, чи існує файл lsass.eXe, і якщо ні, він буде читати WMI
root\cimv2: PowerShell_Command властивість EnMiner у класі та декодування та запис Base64 у lsass.eXe.
Після виконання всіх процесів починається майнінг.
Просунуте протистояння Окрім майнінгових функцій, сам майнінг-вірус lsass.eXe також має розвинену зброю, тобто робить усе можливе, щоб запобігти аналізу програмним забезпеченням безпеки або співробітниками безпеки.
lsass.eXe створює потік із потужними суперницькими операціями, подібним чином:
Ітераційно пройдіть процес і виявите, що існує пов'язаний процес (наприклад, процес пісочниці SbieSvc.exe відкритий) і завершите це:
Відповідний код розбирання виглядає так:
Підсумовуючи, він має операцію «сім антис», тобто коли існують наступні інструменти або процеси аналізу безпеки, він автоматично виходить, щоб запобігти аналізу середовищем пісочниці або персоналом безпеки.
Перший анти: анти-пісочниця
Анти-пісочниці: SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe Другий анти: антиналагодження
Анти-налагоджувальні файли: WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe Третій анти: антиповедінковий моніторинг
Файли моніторингу антиповедінки: RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe Четвертий анти: антимережеве спостереження
Файли моніторингу антимережі: Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe П'ята антитеза: розбирання
Документи для розбирання: IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe Шостий анти-аналіз документів
Файли аналізу антифайлів: PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe Сьомий анти-аналіз: анти-безпековий аналіз
Програмне забезпечення для аналізу антибезпеки: HRSword.exe,
HipsDaemon.exe,ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe Масові вбивства Щоб максимізувати прибуток, EnMiner Mining проводить операцію «PentaKill».
Перше вбивство: знищити службу
Вимкніть усі сервісні процеси, які заважають (усі операції з знищення виконуються в модулі Killer).
Друге вбивство: місія плану вбивства
Всілякі заплановані завдання, марнування системних ресурсів (ресурсів CPU, які найбільше турбуються про майнінг), будуть знищені.
Третє вбивство: знищити вірус
EnMiner має антивірус. Чи це для добрих справ?
Звісно, ні, як і WannaCry 2.0, WannaCry 2.1 викличе сині екрани, шантаж і точно вплине на майнінг EnMiner, і їх знищать.
Ще один приклад — вірус BillGates DDoS, який має функцію DDoS, що точно вплине на майнінг EnMiner, і все це буде знищено.
Четверте вбивство: вбий своїх товаришів
Peers — вороги, одна машина не має права добувати дві шахти, а EnMiner не дозволяє іншим займатися «майнінгом» з нею. Всілякі майнінг-віруси на ринку — зустріти одного — знищити його.
Щоб гарантувати повне мертве використання пірів, додаткові процеси зупиняються через порти (зазвичай використовуються порти для майнінгу).
П'яте вбивство: самогубство
Як уже згадувалося, коли EnMiner виявляє наявність відповідних інструментів для аналізу безпеки, він відмовляється, тобто масть, що є максимальним опором аналізу.
Лягай і мій EnMiner Miner, яка провела операцію «сім анти-п'яти вбивств», не має конкурентів і фактично копає без проблем. Крім того, майнінг віріон lsass.eXe можна відновити з WMI за допомогою декодування Base64. Це означає, що якщо ви вб'єте лише lsass.eXe, WMI буде відновлюватися кожну годину, і ви зможете майнити лежачи.
До цього часу вірус проникав у Monero, і вірус перебуває на ранніх стадіях спалаху, і Сангфор нагадує користувачам посилювати профілактику.
рішення 1. Ізолювати заражений хост: Ізолювати заражений комп'ютер якомога швидше, закрити всі мережеві з'єднання та вимкнути мережеву карту.
2. Підтверджуйте кількість заражень: рекомендується використовувати платформу Sangfor наступного покоління міжмережевого екрану або платформу підвищення обізнаності про безпеку для загальномережевого підтвердження.
3. Видалити стартові елементи WMI Exception:
Використовуйте інструмент Autoruns (посилання для завантаження:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns), знайдіть аномальний запуск WMI і видаляйте його.
4. Перевірте та знищуйте віруси
5. Патчуйте вразливості: якщо в системі є вразливості, вчасно їх виправляйте, щоб уникнути використання вірусами.
6. Зміна пароля: якщо пароль від облікового запису хоста слабкий, рекомендується скинути пароль з високою силою, щоб уникнути використання при бластингу. | 
Опубліковано 26.06.2018 09:46:47
|
|
|
|
