Flusso di lavoro per la correzione dei miner di criptovalute

Seguire questa procedura per risolvere un attacco miner di criptovalute.

Introduzione

I miner di criptovalute sono file eseguibili che usano in maniera illecita i cicli della CPU e la RAM per eseguire calcoli, al fine di minare criptovalute. Queste varianti di malware sono in genere molto elusive, perché il loro obiettivo non è esplicitamente causare danni, bensì eseguire il data mining su un dispositivo in background. Il sintomo più comune è un calo significativo della performance di un dispositivo.

Conferma della presenza di un miner di criptovalute

In primo luogo, occorre stabilire se si tratta di un miner di criptovalute o di un’altra infezione di Windows Management Instrumentation (WMI) basata sulla persistenza. Per confermare la presenza di un’infezione da miner di criptovalute, procedere come segue:

1. Utilizzare le esecuzioni automatiche di Microsoft per individuare l’infezione. Vedere Come utilizzare le esecuzioni automatiche di Microsoft per individuare malware non rilevato.

   Nella scheda WMI, viene visualizzata una voce.

   Lo screenshot che segue mostra un esempio di miner di criptovalute.

   

Aggiornamento e applicazione delle patch ai sistemi

Assicurarsi che a tutti i dispositivi siano state applicate le più recenti patch di protezione Windows disponibili, inclusa la patch per l’exploit EternalBlue.

EternalBlue è un exploit che sfrutta una vulnerabilità in Microsoft SMB, e che veniva utilizzato anche per la diffusione del ransomware WannaCry. Ora viene utilizzato da varie famiglie di malware. L’applicazione di patch ai dispositivi e la rimozione di questo vettore di infezione diminuiscono le probabilità di infezione da miner di criptovalute e proteggono i sistemi da altri malware che utilizzano EternalBlue.

Microsoft ha rilasciato la patch per EternalBlue nel seguente aggiornamento Microsoft: MS17-010. L’articolo ufficiale di Microsoft spiega come verificare se un computer ha questa patch. Vedere Come verificare se la patch MS17-010 è installata.

Sophos ha uno script PowerShell molto semplice, che può essere eseguito sui singoli computer per verificare se hanno questa patch. Per maggiori informazioni, vedere Come verificare se un computer è vulnerabile a EternalBlue - MS17-010.

Per applicare le patch ai dispositivi e aggiornarli, procedere come segue:

1. Verificare se i dispositivi sono vulnerabili a EternalBlue.
2. Aggiornare i dispositivi con le più recenti patch di protezione Windows.

3. Utilizzare questi comandi PowerShell per estrarre dal database WMI informazioni associate al filtro eventi, al consumer eventi e al consumer filtro.

   • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
   • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
   • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

4. Comprimere i file .txt generati in C:\ e rinominarli come [Machine_Name_WMI].zip.

5. Mettere a confronto i file con questi esempi, tratti da un dispositivo pulito.

   EventFilter.txt

   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventAccess=
   EventNamespace=root\cimv2
   Name=**SCM Event Log Filter**
   Query=select * from MSFT_SCMEventLogEvent
   QueryLanguage=WQL
   

   EventConsumer.txt

   Category=0
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventID=0
   EventType=1
   InsertionStringTemplates={""}
   MachineName=
   MaximumQueueSize=
   Name=**SCM Event Log Consumer**
   NameOfRawDataProperty=
   NameOfUserSIDProperty=sid
   NumberOfInsertionStrings=0
   SourceName=Service Control Manager
   UNCServerName=
   

   FilterToConsumerBinding.txt

   Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   DeliverSynchronously=FALSE
   DeliveryQoS=
   Filter="__EventFilter.Name="**SCM Event Log Filter**""
   MaintainSecurityContext=FALSE
   SlowDownProviders=FALSE
   

6. Se i file contengono voci diverse o un numero maggiore di voci rispetto a quelle visualizzate per un dispositivo pulito, utilizzare questi script per pulirli.

   1. Cercare le informazioni pertinenti nel testo in grassetto, sostituire le informazioni richieste negli script riportati di seguito ed eseguire gli script.

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
      Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
      wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
      

Individuazione del miner di criptovalute

Un miner di criptovalute è un file eseguibile o uno script che assume la forma di un’operazione pianificata o di una voce WMI.

1. Utilizzare le esecuzioni automatiche di Microsoft per stabilire il tipo di miner di criptovalute presente nei sistemi.

2. Se si rileva un file eseguibile dannoso, inviare un campione. Vedere questa pagina per inviare un campione.

   Una volta aggiornate e rilasciate le firme, Sophos rimuoverà questi file automaticamente da tutti i dispositivi.

   Se non si riesce a trovare il file eseguibile, contattare Sophos Rapid Response.

3. Se si ha uno script, utilizzare i seguenti articoli per risolvere il problema.

   • Come indagare su WannaMine: un worm di cryptojacking
   • Come rimuovere il JavaScript CoinMiner basato su WMI
   • Il malware PowerShell Lemon_Duck cifra e tiene in ostaggio intere reti aziendali - Sophos News: Questo articolo contiene informazioni utili quando il miner di criptovalute utilizza operazioni pianificate.

Eliminazione del miner di criptovalute

Se è presente un file eseguibile dannoso, deve essere rimosso.

1. Eliminare i file rilevati da tutti i dispositivi infetti.

Video per la correzione dei miner di criptovalute

Il video descrive questo flusso di lavoro.