返回頂部
隱藏或顯示

新聞動態

News

深信服,讓IT更簡單、更安全、更有價值

高能預警!警惕EnMiner挖礦大開殺戒

/ 2018-06-27


      近日,深信服發現一種具有高強度病毒對抗行為的新型的挖礦病毒,其病毒機制與常規挖礦相差較大,一旦感染上,清理難度極大。目前該病毒處于爆發初期,深信服已將此病毒命名為EnMiner挖礦病毒,并將持續追蹤其發展狀況并制定詳細的應對措施。


      此EnMiner病毒,是目前遇到的“殺氣”較重的挖礦病毒,具有高強度的病毒對抗行為,堪稱“七反五殺”。能夠反沙箱 、反調試、反行為監控、反網絡監控、反匯編、反文件分析、反安全分析的同時殺服務、殺計劃任務、殺病毒、殺同類似挖礦甚至存在自殺的較大程度反抗分析行為!

病毒分析


攻擊場景

      EnMiner病毒攻擊,可謂有備而來,在干掉異己、對抗分析上做足了功夫。


      如上圖,lsass.eXe為挖礦病毒體(C:\Windows\temp目錄下),負責挖礦功能。Powershell腳本是base64加密的,存在于WMI中,有Main、Killer、StartMiner三個模塊。Main模塊負責啟動,Killer負責殺服務、殺進程,StartMiner負責啟動挖礦,當挖礦文件lsass.eXe不存在時,會從WMI中Base64解碼重新生成,以執行挖礦。具體如下:

首先,存在異常WMI項在定時啟動PowerShell,根據WQL語句,為1小時自動觸發一次。


      判斷是否存在lsass.eXe這個文件,如果不存在,會讀取WMI中root\cimv2:PowerShell_Command類中的EnMiner屬性,并進行Base64解碼寫入lsass.eXe。


      所有流程執行完后,就開始挖礦。

高級對抗


挖礦病毒體lsass.eXe本身除了有挖礦功能,還具有高級對抗行為,即千方百計阻止安全軟件或者安全人員對其進行分析。

      lsass.eXe會創建一個線程,進行強對抗操作,如下:


      遍歷進程,發現有相關進程(譬如發現SbieSvc.exe這個沙箱進程)則結束自身:


相應的反匯編代碼如下:

總結其有“七反”操作,即當有以下安全分析工具或進程時,會自動退出,阻止被沙盒環境或安全人員分析。

第一反:反沙箱

反沙箱文件:SbieSvc.exe、SbieCtrl.exe、JoeBoxControl.exe、JoeBoxServer.exe


第二反:反調試

反調試文件:WinDbg.exe、OllyDBG.exe、OllyICE.exe、ImmunityDebugger.exe、

x32dbg.exe、x64dbg.exe、win32_remote.exe、

win64_remote64.exe


第三反:反行為監控

反行為監控文件:RegMon.exe、RegShot.exe、FileMon.exe、ProcMon.exe、AutoRuns.exe、AutoRuns64.exe、taskmgr.exe、PerfMon.exe、ProcExp.exe、ProExp64.exe、

ProcessHacker.exe、sysAnalyzer.exe、

Proc_Analyzer.exe、Proc_Watch.exe、

Sniff_Hit.exe


第四反:反網絡監控

反網絡監控文件:Wireshark.exe、DumpCap.exe、TShark.exe、APorts.exe、TcpView.exe


第五反:反匯編

反匯編文件:IDAG.exe、IDAG64.exe、IDAQ.exe、IDAQ64.exe


第六反:反文件分析

反文件分析文件:PEiD.exe、WinHex.exe、LordPE.exe、PEditor.exe、Stud_PE.exe、ImportREC.exe


第七反:反安全分析

反安全分析軟件:HRSword.exe、

HipsDaemon.exe、ZhuDongFangYu.exe、

QQPCRTP.exe、PCHunter32.exe、

PCHunter64.exe

大開殺戒

EnMiner挖礦為了實現利益更大化,執行了“五殺”(PentaKill)操作。



第一殺:殺服務

礙事的服務進程都殺掉(所有殺操作都在Killer模塊進行)。


第二殺:殺計劃任務

      各種計劃任務,浪費系統資源(挖礦關心CPU資源),都會被殺掉。


第三殺:殺病毒

      EnMiner有殺病毒功能。是為了做善事?當然不是,像WannaCry2.0、WannaCry2.1會導致藍屏、勒索的,肯定影響EnMiner挖礦了,都會被殺掉。

再如BillGates DDoS病毒,其具有DDoS功能,肯定也影響EnMiner挖礦了,通通干掉。


第四殺:殺同行

      同行是冤家,一機不容二礦,EnMiner不允許別人跟它搶“挖礦”這單生意。各種市面上的挖礦病毒,遇到一個殺掉一個。


      為了保證同行徹底死掉,還額外通過端口進行殺進程(挖礦常用端口)。


第五殺:自殺

      前文有講到,當EnMiner發現有相關的安全分析工具時,就會退出,即自殺,這是很大程度的反抗分析行為。


躺著挖礦

      進行了“七反五殺”操作的EnMiner挖礦再無競爭者,基本上是躺著挖礦了。此外,挖礦病毒體lsass.eXe可以從WMI里面通過Base64解碼重新生成。這意味著如果殺軟僅僅只殺掉lsass.eXe,則WMI每隔1小時后又會重新生成,又可以躺著挖礦。


截至目前,該病毒已挖有門羅幣,目前該病毒處于爆發初期,深信服提醒廣大用戶加強防范。



解決方案

1、隔離感染主機:已中毒計算機盡快隔離,關閉所有網絡連接,禁用網卡。

2、確認感染數量:推薦使用深信服下一代防火墻或者安全感知平臺進行確認。

3、刪除WMI異常啟動項:使用Autoruns工具(下載鏈接為:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),找到異常的WMI啟動項,并刪除。


4、查殺病毒:推薦使用深信服僵尸網絡查殺工具(下載鏈接為:http://edr.sangfor.com.cn),該工具基于人工智能技術,能夠對未知病毒或變種進行有效鑒定,具備檢測查殺EnMiner挖礦病毒的能力。


5、修補漏洞:系統若存在漏洞,及時打補丁,避免被病毒利用。

6、修改密碼:如果主機賬號密碼比較弱,建議重置高強度的密碼,避免被爆破利用。



©2000-2018    深信服科技股份有限公司    版權所有     粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

一本道在线综合久久88