Workflow der Bereinigung von Coin-Mining

Befolgen Sie diese Schritte, um einen Coin-Mining-Angriff zu beheben.

Einleitung

Coin-Miner sind ausführbare Dateien, die CPU-Zyklen und RAM stehlen, um die Mining-Berechnungen für verschiedene Kryptowährungen durchzuführen. Diese Malware-Varianten sind in der Regel sehr verschleiert, weil sie nicht explizit schaden möchten, damit sie das Mining im Hintergrund auf einem Gerät fortsetzen können. Das häufigste Symptom ist eine signifikante Verschlechterung der Leistung eines Geräts.

Bestätigen, ob es sich um Coin-Mining handelt

Zunächst müssen Sie bestimmen, ob Sie es mit Coin-Mining oder einer anderen persistenzbasierten WMI-Infektion (Windows Management Instrumentation) zu tun haben. Gehen Sie wie folgt vor, um zu bestätigen, ob Sie von einer Coin-Mining-Infektion betroffen sind:

1. Suchen Sie mit Microsoft Autoruns nach der Infektion. Siehe Auffinden unerkannter Malware mit Microsoft Autoruns.

   Auf der Registerkarte WMI wird ein Eintrag angezeigt.

   Der Screenshot unten zeigt ein Beispiel für Coin-Mining.

   

Aktualisieren und Patchen Ihrer Systeme

Stellen Sie sicher, dass alle Ihre Geräte über die neuesten Windows-Sicherheits-Patches verfügen. Sie müssen sicherstellen, dass Sie den Patch für den EternalBlue-Exploit installieren.

EternalBlue ist ein Exploit, der eine Schwachstelle in Microsoft SMB ausnutzt, die von der WannaCry-Software zur Verbreitung genutzt wurde. Verschiedene Malware-Familien nutzen diesen Exploit derzeit. Das Patchen von Geräten und das Entfernen dieses Infektionsvektors erschweren Coin-Mining und schützen Sie vor anderer Malware mit EternalBlue.

Microsoft veröffentlichte den Patch für EternalBlue in Microsoft Update: MS17-010. Im offiziellen Microsoft-Artikel wird erläutert, wie Sie überprüfen können, ob ein Computer über den Patch verfügt. Siehe Überprüfen, ob MS17-010 installiert ist.

Sophos verfügt über ein einfaches PowerShell-Skript, das auf einzelnen Computern ausgeführt werden kann, um zu bestätigen, ob der Patch vorhanden ist. Weitere Informationen hierzu finden Sie unter Überprüfen, ob ein Gerät anfällig für EternalBlue ist – MS17-010.

Verfahren Sie zum Aktualisieren und Patchen Ihrer Geräte wie folgt:

1. Überprüfen Sie, ob Ihre Geräte anfällig für EternalBlue sind.
2. Aktualisieren Sie Ihre Geräte mit den neuesten Windows-Sicherheits-Patches.

3. Verwenden Sie diese beiden PowerShell-Befehle, um Ereignisfilter-, Ereignis-Verbrauchs- und Filter-Verbrauchs-Bindungs-Daten aus der WMI-Datenbank zu beziehen.

   • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
   • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
   • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

4. Komprimieren Sie die in C:\ generierten .txt-Dateien und benennen Sie sie in [Machine_Name_WMI].zip um.

5. Vergleichen Sie Ihre Dateien mit diesen Beispielen von einem nicht kompromittierten Gerät aus.

   EventFilter.txt

   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventAccess=
   EventNamespace=root\cimv2
   Name=**SCM Event Log Filter**
   Query=select * from MSFT_SCMEventLogEvent
   QueryLanguage=WQL
   

   EventConsumer.txt

   Category=0
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventID=0
   EventType=1
   InsertionStringTemplates={""}
   MachineName=
   MaximumQueueSize=
   Name=**SCM Event Log Consumer**
   NameOfRawDataProperty=
   NameOfUserSIDProperty=sid
   NumberOfInsertionStrings=0
   SourceName=Service Control Manager
   UNCServerName=
   

   FilterToConsumerBinding.txt

   Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   DeliverSynchronously=FALSE
   DeliveryQoS=
   Filter="__EventFilter.Name="**SCM Event Log Filter**""
   MaintainSecurityContext=FALSE
   SlowDownProviders=FALSE
   

6. Wenn Ihre Dateien andere oder mehr Einträge enthalten als die, die für ein nicht kompromittiertes Gerät angezeigt werden, bereinigen Sie sie mit diesen Skripten.

   1. Suchen Sie die entsprechenden Informationen im fettgedruckten Text, ersetzen Sie die erforderlichen Informationen in den folgenden Skripts und führen Sie sie aus.

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
      Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
      wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
      

Coin-Mining auffinden

Ein Coin-Miner ist entweder eine ausführbare Datei oder ein Skript in Form eines geplanten Auftrags oder WMI-Eintrags.

1. Ermitteln Sie mit Microsoft Autoruns, welche Art von Coin-Mining vorliegt.

2. Wenn Sie über eine schädliche ausführbare Datei verfügen, senden Sie ein Sample ein. Siehe Sample einsenden.

   Wenn die Signaturen aktualisiert und freigegeben wurden, bereinigt Sophos sie automatisch von allen Geräten.

   Wenn Sie die ausführbare Datei nicht finden können, wenden Sie sich an Sophos Rapid Response.

3. Wenn Sie über ein Skript verfügen, finden Sie in den folgenden Artikeln weitere Unterstützung.

   • Anweisungen zum Untersuchen von WannaMine/CryptoJacking-Wurm
   • Anweisungen zum Entfernen von WMI-basiertem JavaScript CoinMiner
   • Cryptojacking-Angriff auf Unternehmensnetzwerke durch Lemon-Duck-Malware – Sophos News Dieser Artikel enthält nützliche Informationen darüber, ob der Coin-Miner geplante Aufgaben verwendet.

Coin-Miner löschen

Wenn eine schädliche ausführbare Datei vorliegt, müssen Sie sie entfernen.

1. Löschen Sie die erkannten Dateien auf allen infizierten Geräten.

Bereinigungs-Video zu Coin-Mining

In diesem Video wird dieser Workflow behandelt.