高能预警!警惕EnMiner挖矿大开杀戒

近日,笃信服发明一种具有高强度病毒抗衡行径的新型的挖矿病毒,其病毒机制与老例挖矿相差较大年夜,一旦感染上,清理难度极大年夜。今朝该病毒处于爆发初期,笃信服已将此病毒命名为EnMiner挖矿病毒,并将持续追踪其成长状况并拟订具体的应对步伐。

此EnMiner病毒,是今朝碰到的“杀气”最重的挖矿病毒,具有高强度的病毒抗衡行径,堪称“七反五杀”。能够反沙箱 、反调试、反行径监控、反收集监控、反汇编、反文件阐发、反安然阐发的同时杀办事、杀计划义务、杀病毒、杀同类似挖矿以致存在自尽的最大年夜程度反抗阐发行径!

病毒阐发

进击场景

EnMiner病毒进击,可谓有备而来,在干掉落异己、抗衡阐发上做足了功夫。

如上图,lsass.eXe为挖矿病毒体(C:Windowstemp目录下),认真挖矿功能。Powershell脚本是base64加密的,存在于WMI中,有Main、Killer、StartMiner三个模块。Main模块认真启动,Killer认真杀办事、杀进程,StartMiner认真启动挖矿,当挖矿文件lsass.eXe不存在时,会从WMI中Base64解码从新天生,以履行挖矿。详细如下:

首先,存在非常WMI项在准时启动PowerShell,根据WQL语句,为1小时自动触发一次。

判断是否存在lsass.eXe这个文件,假如不存在,会读取WMI中

rootcimv2:PowerShell_Command类中的EnMiner属性,并进行Base64解码写入lsass.eXe。

所有流程履行完后,就开始挖矿。

高档抗衡

挖矿病毒体lsass.eXe本身除了有挖矿功能,还具有高档抗衡行径,即千方百计阻拦安然软件或者安然职员对其进行阐发。

lsass.eXe会创建一个线程,进行强抗衡操作,如下:

遍历进程,发明有相关进程(譬如发明SbieSvc.exe这个沙箱进程)则停止自身:

响应的反汇编代码如下:

总结其有“七反”操作,即当有以下安然阐发对象或进程时,会自动退出,阻拦被沙盒情况或安然职员阐发。

第一反:反沙箱

反沙箱文件:

SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe

第二反:反调试

反调试文件:

WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe

bugger.exe,

x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe

第三反:反行径监控

反行径监控文件:

RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,

ProcessHacker.exe,sysAnalyzer.exe,

Proc_Analyzer.exe,Proc_Watch.exe,

Sniff_Hit.exe

第四反:反收集监控

反收集监控文件:

Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe

第五反:反汇编

反汇编文件:

IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe

第六反:反文件阐发

反文件阐发文件:

PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe

第七反:反安然阐发

反安然阐发软件:

HRSword.exe,

HipsDaemon.exe,ZhuDongFangYu.exe,

QQPCRTP.exe,PCHunter32.exe,

PCHunter64.exe

大年夜开杀戒

EnMiner挖矿为了实现利益最大年夜化,履行了“五杀”(PentaKill)操作。

第一杀:杀办事

碍事的办事进程都杀掉落(所有杀操作都在Killer模块进行)。

第二杀:杀计划义务

各类计划义务,挥霍系统资本(挖矿最关心的CPU资本),都邑被杀掉落。

第三杀:杀病毒

EnMiner有杀病毒功能。是为了做善事?

当然不是,像WannaCry2.0,WannaCry2.1会导致蓝屏、打单的,肯定影响EnMiner挖矿了,都邑被杀掉落。

再如BillGates DDoS病毒,其具有DDoS功能,肯定也影响EnMiner挖矿了,通通干掉落。

[1] [2]下一页

第四杀:杀同业

同业是冤家,一机不容二矿,EnMiner不容许别人跟它抢“挖矿”这单买卖。各类市道市面上的挖矿病毒,碰到一个杀掉落一个。

为了包管同业彻底逝世掉落,还额外经由过程端口进行杀进程(挖矿常用端口)。

第五杀:自尽

前文有讲到,当EnMiner发明有相关的安然阐发对象时,就会退出,即自尽,这是最大年夜程度的反抗阐发行径。

躺着挖矿

进行了“七反五杀”操作的EnMiner挖矿再无竞争者,基础上是躺着挖矿了。此外,挖矿病毒体lsass.eXe可以从WMI里面经由过程Base64解码从新天生。这意味着假如杀软仅仅只杀掉落lsass.eXe,则WMI每隔1小时后又会从新天生,又可以躺着挖矿。

截至今朝,该病毒已挖有门罗币,今朝该病毒处于爆发初期,笃信服提醒广大年夜用户加强警备。

办理规划

1、隔离感染主机:已中毒谋略机尽快隔离,关闭所有收集连接,禁用网卡。

2、确认感染数量:保举应用笃信服下一代防火墙或者安然感知平台进行全网确认。

3、删除WMI非常启动项:

应用Autoruns对象(下载链接为:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),找到非常的WMI启动项,并删除。

4、查杀病毒

5、修补破绽:系统若存在破绽,及时打补丁,避免被病毒使用。

6、改动密码:假如主机账号密码对照弱,建议重置高强度的密码,避免被爆破使用。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包