驅動挖礦病毒PuMiner來勢洶洶
近日,深信服安全團隊接到大量客戶反饋,深信服安全感知平台(SIP)報警內網中存在挖礦主機,但市面上主流殺毒軟體查殺均未查殺出異常。
深信服安全專家分析發現,主機挖礦特徵明顯,採用為驅動載入配合代碼注入的方式植入計算機,具備較強的隱蔽性與頑固性,且有大規模擴散的趨勢。
病毒主要注入到系統lsass.exe開啟單獨線程進行挖礦,且CPU佔用率閾值保持在25%,未能從進程模塊中發現異常項目,並通過註冊表載入驅動的方式實現開機自啟動。
0x01 現象描述
系統中使用lsass.exe挖礦,挖礦域名為monerohash.com主要埠通常為4位數字如3333,6666等。
lsass.exe內存佔用空間也大幅度增加,多出的部分包含挖礦的核心代碼與隱藏的dll模塊,內存中存在挖礦的關鍵欄位。
挖礦中的lsass.exe:
正常系統中的lsass.exe:
內存中存在較多的挖礦核心代碼,github中能找到此挖礦核心代碼:
0x02 啟動過程
病毒文件在windows啟動時通過調用lsass.exe調用
windows/system32/iaslib/xxxx.dat(隨機字元串文件)文件目錄一下的文件將註冊為一個系統設備。
添加註冊表關鍵欄位FFBusiness註冊此設備:
同時釋放已經加密的病毒文件windows/system32/win9x/下,有較多的tmp文件
並通過註冊的形式添加到系統引用當中運行
病毒母體核心驅動如下(命名為隨機字元串)
0x03 解決方案
重點說明:
由於病毒文件設置有訪問許可權控制,這裡需要使用PCHunter工具進行操作,此工具屬於驅動載入類軟體有一定的兼容性限制有藍屏的風險,請事先做好數據備份工作。
lsass.exe為系統進程請勿輕易結束此進程會導致系統異常。
清除步驟:
使用PChunter工具刪除windows/system32/iaslib/整個目錄
使用PChunter工具刪除windows/system32/win9x整個目錄
使用PChunter工具刪除windows/system32/xxxxx目錄(xxxx為隨機字元串)請特別注意勿錯刪,刪除前請務必檢查簽名與日期等信息
使用PChunter工具刪除windows/system32/drivers/xxxxx(xxxx為隨機字元串)請特別注意勿錯刪,刪除前請務必檢查簽名與日期等信息 大小約為1228.288KB
運行regedit 搜索註冊表為FFbusiness與病毒母體驅動xxxx(xxxx為隨機字元串)的關鍵字,刪除這些鍵值
重啟計算機
0x04 加固意見
根據目前掌握的信息,該病毒主要通過軟體捆綁安裝進行傳播,日常使用PC過程當中應盡量選擇安全可信的第三方軟體平台或者軟體官網下載軟體。
日常運維進行周期性的安全檢查與病毒掃描,及時發現安全問題,建議部署安全感知(SIP)與終端安全軟體(EDR)聯動處理病毒問題。
提升安全意識及時更新windows補丁、設置複雜密碼等。
TAG:千里目安全實驗室 |