コインマイナーの修復ワークフロー

コインマイナー攻撃を修復するには、次の手順を実行します。

はじめに

コインマイナーは、さまざまな暗号通貨のマイニング計算を行うために CPU サイクルと RAM を盗用する実行可能ファイルです。これらのマルウェアの亜種は、明示的な害を与えたないようにデバイス上でマイニングをバックグラウンドで維持できるため、通常は非常に巧妙に管理されています。最も一般的な症状は、デバイスのパフォーマンスが大幅に低下することです。

コインマイナーであることを確認する

最初に、コインマイナーまたはその他の Windows Management Instrumentation (WMI) を用いた永続性のある感染かどうかを確認する必要があります。コインマイナーに感染していることを確認するには、次の手順に従います。

1. Microsoft Autoruns を使用して感染を検出します。詳細は、Microsoft Autoruns を使用して検出されないマルウェアを検出する方法を参照してください。

   「WMI」タブにエントリが表示されます。

   次のスクリーンショットは、コインマイナーの例を示しています。

   

システムをアップデートして更新プログラムを適用する

すべてのデバイスに最新の Windows セキュリティ更新プログラムが適用されていることを確認します。EternalBlue エクスプロイト向けの更新プログラムを必ず含める必要があります。

EternalBlue は Microsoft SMB にある脆弱性を利用するエクルプロイトで、WannaCry ランサムウェアの拡散で使用されたことでも知られています。現在、さまざまなマルウェアファミリーで使用されています。デバイスにセキュリティ更新プログラムを適用して、この感染方法を除去すると、コインマイナーの使用が困難になり EternalBlueを使用する他のマルウェアからも保護されます。

EternalBlue に対するセキュリティ更新プログラムはマイクロソフトの更新プログラムMS17-010 でリリースされています。コンピュータに更新プログラムが適用されているかどうかを確認する方法については、マイクロソフトの公式の文章で説明されてます。詳細は、MS17-010 がインストールされたことを確認する方法を参照してください。

ソフォスでは個別のデバイス上で実行して更新プログラムが適用されているかどうかを確認できるシンプルな PowerShell スクリプトを提供しています。詳細については、マシンが EternalBlue - MS17-010 に脆弱であるかどうかを確認する手順を参照してください。

更新プログラムをデバイスに適用し更新するには、次の手順を実行します。

1. デバイスが EternalBlue に対して脆弱であるかどうかを確認します。
2. 最新の Windows セキュリティ更新プログラムでデバイスを更新します。

3. これらの PowerShell コマンドを使用して、WMI データベースからイベントフィルタ、イベントコンシューマ、フィルタコンシューマ バインディング情報を取得します。

   • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
   • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
   • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

4. C:\ に生成された .txt の結果のファイルを Zip し、[Machine_Name_WMI].zip という名前に変更します 。

5. クリーンなデバイスからのこれらの例と、手元のファイルを照合します。

   EventFilter.txt

   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventAccess=
   EventNamespace=root\cimv2
   Name=**SCM Event Log Filter**
   Query=select * from MSFT_SCMEventLogEvent
   QueryLanguage=WQL
   

   EventConsumer.txt

   Category=0
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventID=0
   EventType=1
   InsertionStringTemplates={""}
   MachineName=
   MaximumQueueSize=
   Name=**SCM Event Log Consumer**
   NameOfRawDataProperty=
   NameOfUserSIDProperty=sid
   NumberOfInsertionStrings=0
   SourceName=Service Control Manager
   UNCServerName=
   

   FilterToConsumerBinding.txt

   Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   DeliverSynchronously=FALSE
   DeliveryQoS=
   Filter="__EventFilter.Name="**SCM Event Log Filter**""
   MaintainSecurityContext=FALSE
   SlowDownProviders=FALSE
   

6. ファイルに、クリーンデバイスで表示されているエントリとは異なるエントリまたはそれ以上のエントリが含まれている場合は、次のスクリプトを使用してそれらを消去します。

   1. 太字のテキストの適切な情報を見つけ、次のスクリプトで必要な情報を置き換えてスクリプトを実行します。

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
      Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
      wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
      

コインマイナーを見つける

コインマイナーとは、実行可能ファイルであるか、スケジュールされたタスクまたは WMI エントリの形式のスクリプトのいずれかです。

1. Microsoft Autoruns を使用して、コインマイナーの種類を確認します。

2. 悪意のある実行可能ファイルがある場合は、サンプルを送信します。詳細は、サンプルの送信を参照してください。

   シグニチャが更新されてリリースされると、ソフォスは自動的にすべてのデバイスからそのコインマイナーを消去します。

   実行可能ファイルが見つからない場合は Sophos Rapid Response にお問い合わせください。

3. スクリプトがある場合は、次の文章を参考にして処理してください。

   • WannaMine を調査する方法 - CryptoJacking ワーム
   • WMI based JavaScript CoinMiner の削除方法
   • Lemon_Duck PowerShell malware cryptojacks enterprise networks – Sophos News: この文章には、コインマイナーがスケジュールタスクを使用している場合に役立つ情報が含まれています。

コインマイナーを削除する

悪意のある実行可能ファイルがある場合は、そのファイルを削除する必要があります。

1. 感染したすべてのデバイス上で検出されたファイルを削除します。

コインマイナーの修復の動画

この動画では、このワークフローについて説明します。