【漏洞预警】EnMiner 挖矿病毒预警

【漏洞预警】EnMiner 挖矿病毒预警

一、安全预警

本周,互联网出现了一种新型的挖矿病毒(EnMiner), 其病毒机制与前期的挖矿病毒差别较大,具有多种对抗能力,一旦感染,危害后果严重。目前该病毒处于传播初期,请各重点单位加强防范,提醒单位职工注意电脑的日常使 用,避免发生中毒事件。

二、事件信息

(一) 事件概要

事件名称:EnMiner 挖矿病毒

威胁类型:挖矿病毒

威胁等级:高

受影响系统及应用版本:存在“永恒之蓝”漏洞或者存在弱口令漏洞的 Windows 系统(包括个人版和服务器版)。

(二) 病毒介绍

EnMiner 挖矿病毒具有多种反侦察、反分析能力,能够反沙箱、反调试、反行为监控、反网络监控、反汇编、反文件分析、反安全分析,当遇到检测行为时,会通过自动退出的方式阻止被分析。其在运行过程中,会关闭或结束所有其他的应用和服务(包括其他的病毒程序),严重影响系统正常服务。

(三) 影响范围

存在“永恒之蓝”漏洞或者存在弱口令漏洞的 Windows系统(包括个人版和服务器版)。

三、处置建议

(一) 排查方案

  1. 检查系统是否安装系统漏洞补丁包;

  2. 检查系统是否开启了 445 端口的 SMB 网络共享协议,或者不必要的共享端口;

  3. 检查系统是否存在 Isass.exe 文件;

  4. 检查系统启动项WMI 的root\cimv2:PowerShell_Command 类中是否存在 EnMiner 属性。

(二) 解决方案

  1. 隔离感染主机:立即隔离已中毒计算机,关闭所有网络连接,禁用网卡;

  2. 切断传播途径:关闭计算机设备的 SMB 445 等网络共享端口,关闭异常的外联访问;

  3. 查找攻击源,确认感染数量:手工抓包分析或借助态势感知类产品分析,确认全网感染数量;

  4. 查 杀 病 毒 : 可 使 用 以 下 工 具 进 行 查 杀(http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)

  5. 删除 WMI 异常启动项:使用 Autoruns 工具,找到异常的 WMI 启动项,并删除。

  6. 不要点击来源不明的邮件,不从不明网站下载相关 的软件;及时对电脑主机进行补丁升级,修复漏洞;对重要的数据文件

定期进行非本地备份;安装专业的终端或服务器安全防护软件;

  1. 修改密码:主机账号密码重置为高强度的密码。

四、应急处置建议

  1. 立即断开被入侵的主机系统的网络连接,防止进一步危害;

  2. 是留存相关日志信息;

  3. 是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表深圳汇安科技立场,转载目的在于传递更多信息。如有侵权,请联系 13570058253@139.com。