驱动挖矿病毒PuMiner来势汹汹
0x0 背景
大量内网主机存在挖矿行为,经过市面上主流杀毒软件查杀均未查杀出异常,后续分析发现主机挖矿特征明显采用为驱动加载配合代码注入的方式植入计算机具备较强的隐蔽性与顽固性,且有大规模扩散的趋势。
病毒主要注入到系统Lsass.exe开启单独线程进行挖矿,且CPU占用率阈值保持在25%,未能从进程模块中发现异常项目,并通过注册表加载驱动的方式实现开机自启动。
0x1 现象描述
系统中使用lsass.exe挖矿,挖矿域名为monerohash.com主要端口通常为4位数字如3333,6666等。
lsass.exe内存占用空间也大幅度增加,多出的部分包含挖矿的核心代码与隐藏的的dll模块,内存中存在挖矿的关键字段。
挖矿中的lsass.exe:
正常系统中的lsass.exe:
内存中存在较多的挖矿核心代码,github中能找到此挖矿核心代码:
通过对进程的内存可以发现其中存在的隐藏模块与隐藏进程
0x2 启动过程
病毒文件在windows启动时通过调用lsass.exe调用windows/system32/iaslib/xxxx.dat(随机字符串文件)文件目录一下的文件将注册为一个系统设备。
添加注册表关键字段FFBusiness注册此设备:
同时释放已经加密的病毒文件windows/system32/win9x/下,有较多的tmp文件
并通过注册的形式添加到系统引用当中运行
病毒母体核心驱动如下(命名为随机字符串)
0x3 解决方案
重点说明:
1.由于病毒文件设置有访问权限控制,这里需要使用PCHunter工具进行操作,此工具属于驱动加载类软件有一定的兼容性限制有蓝屏的风险,请事先做好数据备份工作。
2.lsass.exe为系统进程请勿轻易结束此进程会导致系统异常。
清除步骤:
- 使用PChunter工具删除windows/system32/iaslib/整个目录
- 使用PChunter工具删除windows/system32/win9x整个目录
- 使用PChunter工具删除windows/system32/xxxxx目录(xxxx为随机字符串)请特别注意勿错删,删除前请务必检查签名与日期等信息
- 使用PChunter工具删除windows/system32/drivers/xxxxx(xxxx为随机字符串)请特别注意勿错删,删除前请务必检查签名与日期等信息 大小约为1228.288KB
- 运行regedit 搜索注册表为FFbusiness与病毒母体驱动xxxx(xxxx为随机字符串)的关键字,删除这些键值
- 重启计算机
0x4 安全加固意见
- 根据目前掌握的信息,该病毒主要通过软件捆绑安装进行传播,日常使用PC过程当中应尽量选择安全可信的第三方软件平台或者软件官网下载软件
- 日常运维进行周期性的安全检查与病毒扫描,及时发现安全问题,建议部署安全感知(SIP)与终端安全软件(edr)联动处理病毒问题
- 提升安全意识及时更新windows补丁、设置复杂密码等