近日,深信服发现一种具有高强度病毒对抗行为的新型的挖矿病毒,其病毒机制与常规挖矿相差较大,一旦感染上,清理难度极大。目前该病毒处于爆发初期,深信服已将此病毒命名为enminer挖矿病毒,并将持续追踪其发展状况并制定详细的应对措施。
此enminer病毒,是目前遇到的“杀气”较重的挖矿病毒,具有高强度的病毒对抗行为,堪称“七反五杀”。能够反沙箱 、反调试、反行为监控、反网络监控、反汇编、反文件分析、反安全分析的同时杀服务、杀计划任务、杀病毒、杀同类似挖矿甚至存在自杀的较大程度反抗分析行为!
病毒分析
攻击场景
enminer病毒攻击,可谓有备而来,在干掉异己、对抗分析上做足了功夫。
如上图,lsass.exe为挖矿病毒体(c:\windows\temp目录下),负责挖矿功能。powershell脚本是base64加密的,存在于wmi中,有main、killer、startminer三个模块。main模块负责启动,killer负责杀服务、杀进程,startminer负责启动挖矿,当挖矿文件lsass.exe不存在时,会从wmi中base64解码重新生成,以执行挖矿。具体如下:
首先,存在异常wmi项在定时启动powershell,根据wql语句,为1小时自动触发一次。
判断是否存在lsass.exe这个文件,如果不存在,会读取wmi中root\cimv2:powershell_command类中的enminer属性,并进行base64解码写入lsass.exe。
所有流程执行完后,就开始挖矿。
高级对抗
挖矿病毒体lsass.exe本身除了有挖矿功能,还具有高级对抗行为,即千方百计阻止安全软件或者安全人员对其进行分析。
lsass.exe会创建一个线程,进行强对抗操作,如下:
遍历进程,发现有相关进程(譬如发现sbiesvc.exe这个沙箱进程)则结束自身:
相应的反汇编代码如下:
总结其有“七反”操作,即当有以下安全分析工具或进程时,会自动退出,阻止被沙盒环境或安全人员分析。
第一反:反沙箱
反沙箱文件:sbiesvc.exe、sbiectrl.exe、joeboxcontrol.exe、joeboxserver.exe
第二反:反调试
反调试文件:windbg.exe、ollydbg.exe、ollyice.exe、immunitydebugger.exe、
x32dbg.exe、x64dbg.exe、win32_remote.exe、
win64_remote64.exe
第三反:反行为监控
反行为监控文件:regmon.exe、regshot.exe、filemon.exe、procmon.exe、autoruns.exe、autoruns64.exe、taskmgr.exe、perfmon.exe、procexp.exe、proexp64.exe、
processhacker.exe、sysanalyzer.exe、
proc_analyzer.exe、proc_watch.exe、
sniff_hit.exe
第四反:反网络监控
反网络监控文件:wireshark.exe、dumpcap.exe、tshark.exe、aports.exe、tcpview.exe
第五反:反汇编
反汇编文件:idag.exe、idag64.exe、idaq.exe、idaq64.exe
第六反:反文件分析
反文件分析文件:peid.exe、winhex.exe、lordpe.exe、peditor.exe、stud_pe.exe、importrec.exe
第七反:反安全分析
反安全分析软件:hrsword.exe、
hipsdaemon.exe、zhudongfangyu.exe、
qqpcrtp.exe、pchunter32.exe、
pchunter64.exe
大开杀戒
enminer挖矿为了实现利益更大化,执行了“五杀”(pentakill)操作。
第一杀:杀服务
碍事的服务进程都杀掉(所有杀操作都在killer模块进行)。
第二杀:杀计划任务
各种计划任务,浪费系统资源(挖矿关心cpu资源),都会被杀掉。
第三杀:杀病毒
enminer有杀病毒功能。是为了做善事?当然不是,像wannacry2.0、wannacry2.1会导致蓝屏、勒索的,肯定影响enminer挖矿了,都会被杀掉。
再如billgates ddos病毒,其具有ddos功能,肯定也影响enminer挖矿了,通通干掉。
第四杀:杀同行
同行是冤家,一机不容二矿,enminer不允许别人跟它抢“挖矿”这单生意。各种市面上的挖矿病毒,遇到一个杀掉一个。
为了保证同行彻底死掉,还额外通过端口进行杀进程(挖矿常用端口)。
第五杀:自杀
前文有讲到,当enminer发现有相关的安全分析工具时,就会退出,即自杀,这是很大程度的反抗分析行为。
躺着挖矿
进行了“七反五杀”操作的enminer挖矿再无竞争者,基本上是躺着挖矿了。此外,挖矿病毒体lsass.exe可以从wmi里面通过base64解码重新生成。这意味着如果杀软仅仅只杀掉lsass.exe,则wmi每隔1小时后又会重新生成,又可以躺着挖矿。
截至目前,该病毒已挖有门罗币,目前该病毒处于爆发初期,深信服提醒广大用户加强防范。
凯发登录的解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、确认感染数量:推荐使用深信服下一代防火墙或者安全感知平台进行确认。
3、删除wmi异常启动项:使用autoruns工具(下载链接为:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),找到异常的wmi启动项,并删除。
4、查杀病毒:推荐使用深信服僵尸网络查杀工具(下载链接为:http://edr.sangfor.com.cn),该工具基于人工智能技术,能够对未知病毒或变种进行有效鉴定,具备检测查杀enminer挖矿病毒的能力。
5、修补漏洞:系统若存在漏洞,及时打补丁,避免被病毒利用。
6、修改密码:如果主机账号密码比较弱,建议重置高强度的密码,避免被爆破利用。
- / 2020-02-15
- / 2020-02-14
- / 2020-02-15