案例速递:APT预警平台揪出顽固挖矿病毒
安恒信息
网络安全前沿资讯、 应急响应解决方案、技术热点深度解读
关注
在网络安全建设项目中,多个安全厂商同场竞技是常态。狭路相逢勇者胜,最终能获得用户的认可产品,“不看广告看疗效”。
近期在某大型能源企业的流量分析项目中,安恒明御APT预警平台与另两家友商PK威胁检测能力,仅安恒APT预警平台发现了客户内网存在门罗币挖矿主机的风险信息。
抱着对客户高度负责的态度,同时也为了验证安恒APT预警平台的挖矿类告警的准确性,安恒工程师积极帮助客户上机排查,解决问题。经检测发现,使用多种杀毒软件都只能查杀个别可执行进程,随后这些进程很快又会死灰复燃,杀毒软件并不能真正查杀干净这种挖矿病毒。安恒工程师随后使用多种分析工具,捕获到病毒样本,并对样本的运行机制做了详尽的分析,最终有效解决了问题主机被恶意用来挖矿的问题。
以下是分析过程:
1.APT预警平台发现大量的挖矿告警信息,该告警在其他两家友商设备中均没有发现。
2.对问题主机进行上机排查,使用进程查看软件发现异常进程svchost.exe以及子进程cmd.exe,conhost.exe,smss.exe
3.使用多种杀毒软件进行查杀,只能杀掉挖矿病毒的smss.exe程序,随后进程还是会起来,挖矿行为继续。
4.基于上述情况,安恒工程师对病毒文件进行分析,以找到可以终止挖矿进程的方法。
首先发现,病毒对自己的路径进行了隐藏,无法用windows文件资源管理器打开所在目录:
使用cmd命令行查看该目录,并对其属性进行还原后查看到该目录下的文件:
对该目录下的文件进行分析,发现其中一个脚本会对当前文件夹下的文件属性进行更改,使主要的恶意程序被隐藏,因此导致不能直接通过Windows文件资源管理器进行查看:
分析脚本文件1.bat、2.bat、3.bat,发现这三个文件的功能是通过批处理命令安装服务器进程。即通过svchost文件将taskhost.exe安装到“Network Connected”的服务进程。
分析可执行文件svchost.exe,该文件是安全的,它的原始名称应该是“nssm.exe”,来自:http://nssm.cc/ ,该文件可以用来进行服务安装。使用它进行服务安装的话,类似白+黑的技术特点,可绕过杀毒软件告警,达到免杀的效果。
分析可执行文件taskhost.exe,发现该程序采用中文版的VB编程环境进行开发,且程序中进行进程比较与关闭的函数名称中出现了“进程”的首字母缩写“JC”,因此确定为国内黑客所为:
该程序的核心功能是调用jbeta.bat文件,而jbeta.bat文件会调用cmd.bat文件,紧接着cmd.bat文件会调用当前目录的smss.exe文件,这个smss.exe文件就是门罗币的挖矿程序。
查看其中参数,很明显它会连接局域网其他服务器,进行共同挖矿。
根据以上信息,安恒工程师禁用networkconnected服务自启动,异常进程不再出现,APT预警平台不再报警:
由于该病毒使用了类似于白+黑的免杀技巧,使得杀毒软件只能查杀出门罗币挖矿进程smss.exe,但是自启动的network connected服务及其父进程svchost.exe、cmd.exe无法查杀到,在杀毒软件将门罗币挖矿进程禁止后,很快父进程就会再调用起挖矿进程,因此只能把network connected服务启动的svchost.exe进程删除和文件删除,或者停止异常服务network connected,再手动停止svchost.exe进程,才能停止挖矿程序。
本案例一方面验证了安恒APT预警平台在威胁发现能力上的突出表现,另一方面也告诉我们,即使安装有终端杀毒软件,也不是万事大吉,需要配合流量分析及终端保护产品(如安恒主机卫士EDR)来检测及防范更深层次威胁,再配以网络流量分析、专业安全服务来真正解决问题。
明御APT攻击(网络战)预警平台
明御APT攻击(网络战)预警平台(简称DAS-APT)是安恒信息自主研发的针对网络流量进行深度分析的一款产品。该平台基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析、海量的威胁情报,能实时发现网络攻击行为,特别是新型网络攻击行为,帮助用户发现网络中发生的各种已知威胁和未知威胁,检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件!
1.支持全流量分析,网络威胁一网打尽;
2.全面的检测策略,应对各种场景的攻击行为,集静态检测技术和动态分析技术于一身;
3.网络流量实时监控,建立紧急事件报警机制,迅速反应,及时发现攻击;
4.云端大数据分析,基于机器学习和深度挖掘等技术,实时共享最新安全威胁情报,快速预警新型恶意威胁。
APT
“APT(Advanced Persistent Threat)——高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。APT攻击通常由具备国家背景或组织背景的黑客团体发起,他们组织严密、目标明确、手段高超、危害巨大,每一次APT攻击事件的损失是巨大的,影响是深远的。”
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20190105A0U2DX00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
