近日,深信服發現一種具有高強度病毒對抗行為的新型的挖礦病毒,其病毒機制與常規挖礦相差較大,一旦感染上,清理難度極大。目前該病毒處于爆發初期,深信服已將此病毒命名為EnMiner挖礦病毒,并將持續追蹤其發展狀況并制定詳細的應對措施。
此EnMiner病毒,是目前遇到的“殺氣”最重的挖礦病毒,具有高強度的病毒對抗行為,堪稱“七反五殺”。能夠反沙箱 、反調試、反行為監控、反網絡監控、反匯編、反文件分析、反安全分析的同時殺服務、殺計劃任務、殺病毒、殺同類似挖礦甚至存在自殺的最大程度反抗分析行為!
病毒分析
攻擊場景
EnMiner病毒攻擊,可謂有備而來,在干掉異己、對抗分析上做足了功夫。
如上圖,lsass.eXe為挖礦病毒體(C:\Windows\temp目錄下),負責挖礦功能。Powershell腳本是base64加密的,存在于WMI中,有Main、Killer、StartMiner三個模塊。Main模塊負責啟動,Killer負責殺服務、殺進程,StartMiner負責啟動挖礦,當挖礦文件lsass.eXe不存在時,會從WMI中Base64解碼重新生成,以執行挖礦。具體如下:
首先,存在異常WMI項在定時啟動PowerShell,根據WQL語句,為1小時自動觸發一次。
判斷是否存在lsass.eXe這個文件,如果不存在,會讀取WMI中
root\cimv2:PowerShell_Command類中的EnMiner屬性,并進行Base64解碼寫入lsass.eXe。
所有流程執行完后,就開始挖礦。
高級對抗
挖礦病毒體lsass.eXe本身除了有挖礦功能,還具有高級對抗行為,即千方百計阻止安全軟件或者安全人員對其進行分析。
lsass.eXe會創建一個線程,進行強對抗操作,如下:
遍歷進程,發現有相關進程(譬如發現SbieSvc.exe這個沙箱進程)則結束自身:
相應的反匯編代碼如下:
總結其有“七反”操作,即當有以下安全分析工具或進程時,會自動退出,阻止被沙盒環境或安全人員分析。
第一反:反沙箱
反沙箱文件:
SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe
第二反:反調試
反調試文件:
WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe
第三反:反行為監控
反行為監控文件:
RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe
第四反:反網絡監控
反網絡監控文件:
Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe
第五反:反匯編
反匯編文件:
IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe
第六反:反文件分析
反文件分析文件:
PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe
第七反:反安全分析
反安全分析軟件:
HRSword.exe,
HipsDaemon.exe,ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe
大開殺戒
EnMiner挖礦為了實現利益最大化,執行了“五殺”(PentaKill)操作。
第一殺:殺服務
礙事的服務進程都殺掉(所有殺操作都在Killer模塊進行)。
第二殺:殺計劃任務
各種計劃任務,浪費系統資源(挖礦最關心的CPU資源),都會被殺掉。
第三殺:殺病毒
EnMiner有殺病毒功能。是為了做善事?
當然不是,像WannaCry2.0,WannaCry2.1會導致藍屏、勒索的,肯定影響EnMiner挖礦了,都會被殺掉。
再如BillGates DDoS病毒,其具有DDoS功能,肯定也影響EnMiner挖礦了,通通干掉。
 要投稿
第四殺:殺同行
同行是冤家,一機不容二礦,EnMiner不允許別人跟它搶“挖礦”這單生意。各種市面上的挖礦病毒,遇到一個殺掉一個。
為了保證同行徹底死掉,還額外通過端口進行殺進程(挖礦常用端口)。
第五殺:自殺
前文有講到,當EnMiner發現有相關的安全分析工具時,就會退出,即自殺,這是最大程度的反抗分析行為。
躺著挖礦
進行了“七反五殺”操作的EnMiner挖礦再無競爭者,基本上是躺著挖礦了。此外,挖礦病毒體lsass.eXe可以從WMI里面通過Base64解碼重新生成。這意味著如果殺軟僅僅只殺掉lsass.eXe,則WMI每隔1小時后又會重新生成,又可以躺著挖礦。
截至目前,該病毒已挖有門羅幣,目前該病毒處于爆發初期,深信服提醒廣大用戶加強防范。
解決方案
1、隔離感染主機:已中毒計算機盡快隔離,關閉所有網絡連接,禁用網卡。
2、確認感染數量:推薦使用深信服下一代防火墻或者安全感知平臺進行全網確認。
3、刪除WMI異常啟動項:
使用Autoruns工具(下載鏈接為:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),找到異常的WMI啟動項,并刪除。
4、查殺病毒
5、修補漏洞:系統若存在漏洞,及時打補丁,避免被病毒利用。
6、修改密碼:如果主機賬號密碼比較弱,建議重置高強度的密碼,避免被爆破利用。
| 
