近日，深信服發(fā)現(xiàn)一種具有高強(qiáng)度病毒對抗行為的新型的挖礦病毒，其病毒機(jī)制與常規(guī)挖礦相差較大，一旦感染上，清理難度極大。目前該病毒處于爆發(fā)初期，深信服已將此病毒命名為EnMiner挖礦病毒，并將持續(xù)追蹤其發(fā)展?fàn)顩r并制定詳細(xì)的應(yīng)對措施。
此EnMiner病毒，是目前遇到的“殺氣”最重的挖礦病毒，具有高強(qiáng)度的病毒對抗行為，堪稱“七反五殺”。能夠反沙箱 、反調(diào)試、反行為監(jiān)控、反網(wǎng)絡(luò)監(jiān)控、反匯編、反文件分析、反安全分析的同時殺服務(wù)、殺計劃任務(wù)、殺病毒、殺同類似挖礦甚至存在自殺的最大程度反抗分析行為！     
病毒分析
攻擊場景
EnMiner病毒攻擊，可謂有備而來，在干掉異己、對抗分析上做足了功夫。

如上圖，lsass.eXe為挖礦病毒體（C：\Windows\temp目錄下），負(fù)責(zé)挖礦功能。Powershell腳本是base64加密的，存在于WMI中，有Main、Killer、StartMiner三個模塊。Main模塊負(fù)責(zé)啟動，Killer負(fù)責(zé)殺服務(wù)、殺進(jìn)程，StartMiner負(fù)責(zé)啟動挖礦，當(dāng)挖礦文件lsass.eXe不存在時，會從WMI中Base64解碼重新生成，以執(zhí)行挖礦。具體如下：
首先，存在異常WMI項在定時啟動PowerShell，根據(jù)WQL語句，為1小時自動觸發(fā)一次。
判斷是否存在lsass.eXe這個文件，如果不存在，會讀取WMI中
root\cimv2:PowerShell_Command類中的EnMiner屬性，并進(jìn)行Base64解碼寫入lsass.eXe。

所有流程執(zhí)行完后，就開始挖礦。
高級對抗
挖礦病毒體lsass.eXe本身除了有挖礦功能，還具有高級對抗行為，即千方百計阻止安全軟件或者安全人員對其進(jìn)行分析。
lsass.eXe會創(chuàng)建一個線程，進(jìn)行強(qiáng)對抗操作，如下：

遍歷進(jìn)程，發(fā)現(xiàn)有相關(guān)進(jìn)程（譬如發(fā)現(xiàn)SbieSvc.exe這個沙箱進(jìn)程）則結(jié)束自身：

相應(yīng)的反匯編代碼如下：


總結(jié)其有“七反”操作，即當(dāng)有以下安全分析工具或進(jìn)程時，會自動退出，阻止被沙盒環(huán)境或安全人員分析。
第一反：反沙箱
反沙箱文件：
SbieSvc.exe,SbieCtrl.exe,JoeBoxControl.exe,JoeBoxServer.exe 
第二反：反調(diào)試
反調(diào)試文件：
WinDbg.exe,OllyDBG.exe,OllyICE.exe,ImmunityDe
bugger.exe,
x32dbg.exe,x64dbg.exe,win32_remote.exe,win64_remote64.exe 
第三反：反行為監(jiān)控
反行為監(jiān)控文件：
RegMon.exe,RegShot.exe,FileMon.exe,ProcMon.exe,AutoRuns.exe,AutoRuns64.exe,taskmgr.exe,PerfMon.exe,ProcExp.exe,ProExp64.exe,
ProcessHacker.exe,sysAnalyzer.exe,
Proc_Analyzer.exe,Proc_Watch.exe,
Sniff_Hit.exe
第四反：反網(wǎng)絡(luò)監(jiān)控
反網(wǎng)絡(luò)監(jiān)控文件：
Wireshark.exe,DumpCap.exe,TShark.exe,APorts.exe,TcpView.exe
第五反：反匯編
反匯編文件：
IDAG.exe,IDAG64.exe,IDAQ.exe,IDAQ64.exe
第六反：反文件分析
反文件分析文件：
PEiD.exe,WinHex.exe,LordPE.exe,PEditor.exe,Stud_PE.exe,ImportREC.exe
第七反：反安全分析
反安全分析軟件：
HRSword.exe,
HipsDaemon.exe,ZhuDongFangYu.exe,
QQPCRTP.exe,PCHunter32.exe,
PCHunter64.exe
大開殺戒
EnMiner挖礦為了實現(xiàn)利益最大化，執(zhí)行了“五殺”（PentaKill）操作。
第一殺：殺服務(wù)
礙事的服務(wù)進(jìn)程都?xì)⒌簦ㄋ�有殺操作都在Killer模塊進(jìn)行）。

第二殺：殺計劃任務(wù)
各種計劃任務(wù)，浪費系統(tǒng)資源（挖礦最關(guān)心的CPU資源），都會被殺掉。

第三殺：殺病毒
EnMiner有殺病毒功能。是為了做善事？
當(dāng)然不是，像WannaCry2.0,WannaCry2.1會導(dǎo)致藍(lán)屏、勒索的，肯定影響EnMiner挖礦了，都會被殺掉。
再如BillGates DDoS病毒，其具有DDoS功能，肯定也影響EnMiner挖礦了，通通干掉。
要投稿

 

第四殺：殺同行
同行是冤家，一機(jī)不容二礦，EnMiner不允許別人跟它搶“挖礦”這單生意。各種市面上的挖礦病毒，遇到一個殺掉一個。

為了保證同行徹底死掉，還額外通過端口進(jìn)行殺進(jìn)程（挖礦常用端口）。

第五殺：自殺
前文有講到，當(dāng)EnMiner發(fā)現(xiàn)有相關(guān)的安全分析工具時，就會退出，即自殺，這是最大程度的反抗分析行為。

躺著挖礦
進(jìn)行了“七反五殺”操作的EnMiner挖礦再無競爭者，基本上是躺著挖礦了。此外，挖礦病毒體lsass.eXe可以從WMI里面通過Base64解碼重新生成。這意味著如果殺軟僅僅只殺掉lsass.eXe，則WMI每隔1小時后又會重新生成，又可以躺著挖礦。
截至目前，該病毒已挖有門羅幣，目前該病毒處于爆發(fā)初期，深信服提醒廣大用戶加強(qiáng)防范。

解決方案
1、隔離感染主機(jī)：已中毒計算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡。
2、確認(rèn)感染數(shù)量：推薦使用深信服下一代防火墻或者安全感知平臺進(jìn)行全網(wǎng)確認(rèn)。
3、刪除WMI異常啟動項：
使用Autoruns工具（下載鏈接為：https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns），找到異常的WMI啟動項，并刪除。

4、查殺病毒
5、修補(bǔ)漏洞：系統(tǒng)若存在漏洞，及時打補(bǔ)丁，避免被病毒利用。
6、修改密碼：如果主機(jī)賬號密碼比較弱，建議重置高強(qiáng)度的密碼，避免被爆破利用。