Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/mdr/help/fr-fr/index.html?contextId=CoinMiners

Flux de travail de remédiation des mineurs de cryptomonnaie

Procédez comme suit pour remédier à une attaque de mineur de cryptomonnaie.

Introduction

Les mineurs de monnaie sont des fichiers exécutables qui volent les cycles de CPU et la RAM pour effectuer les calculs miniers pour diverses cryptomonnaies. Ces variantes de programmes malveillants sont généralement très furtives parce qu’elles ne veulent pas causer de tort explicite, de sorte qu’elles peuvent garder l’exploitation minière en arrière-plan sur un appareil. Le symptôme le plus courant est une dégradation significative des performances d’un appareil.

Confirmer qu’il s’agit d’un mineur de cryptomonnaie

Tout d’abord, vous devez déterminer si vous êtes confronté à un mineurs de cryptomonnaie ou à une autre infection basée sur la persistance de Windows Management Instrumentation (WMI). Pour confirmer que vous avez une infection de mineur de cryptomonnaie, procédez comme suit :

  1. Utilisez Microsoft Autoruns pour trouver l’infection. Voir Comment utiliser Microsoft Autoruns pour retrouver un malware non détecté

    Une entrée s’affiche dans l’onglet WMI.

    La capture d’écran ci-dessous montre un exemple de mineur de cryptomonnaie.

    Exemple de mineur de cryptomonnaie.

Mettre à jour et corriger vos systèmes

Assurez-vous que tous vos appareils disposent des derniers correctifs de sécurité Windows. Assurez-vous d’inclure le correctif pour l’exploit EternalBlue.

EternalBlue est un exploit qui tire profit d’une vulnérabilité dans Microsoft SMB. Le ransomware WannaCry a utilisé cet exploit pour se propager. Diverses familles de malwares l’utilisent maintenant. L’application de correctifs et la suppression d’un vecteur d’infection rend la tâche plus difficile aux mineurs de cryptomonnaie et vous protège contre d’autres malwares utilisant EternalBlue.

Microsoft a publié le correctif pour EternalBlue dans la mise à jour Microsoft : MS17-010. L’article officiel de Microsoft explique comment vérifier si un ordinateur possède le correctif. Voir Comment vérifier que MS17-010 est installé.

Sophos dispose d’un script PowerShell simple que vous pouvez exécuter sur des appareils individuels pour vous assurer qu’ils disposent du correctif. Retrouvez plus de renseignements à ce sujet sur Comment vérifier si une machine est vulnérable à EternalBlue - MS17-010.

Pour appliquer les correctifs sur vos appareils et les mettre à jour, procédez de la manière suivante :

  1. Vérifiez si vos appareils sont vulnérables à EternalBlue.
  2. Mettez à jour vos appareils avec les derniers correctifs de sécurité Windows.

  3. Utilisez ces commandes PowerShell pour extraire le filtre d’événements, le consommateur d’événements et filtrer les informations de liaison de consommateurs à partir de la base de données WMI.

    • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
    • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
    • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

  4. Compressez les fichiers .txt générés dans C:\ et renommez-les [Machine_Name_WMI].zip.

  5. Comparez vos fichiers à ces exemples à partir d’un appareil propre.

    EventFilter.txt

    CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
EventAccess=
EventNamespace=root\cimv2
Name=**SCM Event Log Filter**
Query=select * from MSFT_SCMEventLogEvent
QueryLanguage=WQL

    EventConsumer.txt

    Category=0
CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
EventID=0
EventType=1
InsertionStringTemplates={""}
MachineName=
MaximumQueueSize=
Name=**SCM Event Log Consumer**
NameOfRawDataProperty=
NameOfUserSIDProperty=sid
NumberOfInsertionStrings=0
SourceName=Service Control Manager
UNCServerName=

    FilterToConsumerBinding.txt

    Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
DeliverSynchronously=FALSE
DeliveryQoS=
Filter="__EventFilter.Name="**SCM Event Log Filter**""
MaintainSecurityContext=FALSE
SlowDownProviders=FALSE

  6. Si vos fichiers contiennent des entrées différentes ou plus que celles affichées pour un appareil propre, utilisez ces scripts pour les nettoyer.

    1. Recherchez les informations appropriées dans le texte en gras, remplacez les informations requises dans les scripts suivants et exécutez-les.

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE

Trouver le mineur de cryptomonnaie

Un mineur de cryptomonnaie est un fichier exécutable ou un script prenant la forme d’une tâche planifiée ou d’une entrée WMI.

  1. Utilisez Microsoft Autoruns pour déterminer le type de mineur de cryptomonnaie que vous avez.

  2. Si vous disposez d’un fichier exécutable malveillant, envoyez un échantillon. Voir Envoyer un échantillon.

    Une fois les signatures mises à jour et publiées, Sophos les nettoie automatiquement de tous les appareils.

    Si vous ne trouvez pas le fichier exécutable, contactez l’équipeSophos Rapid Response.

  3. Si vous avez un script, utilisez les articles suivants pour vous aider à les traiter.

Supprimer le mineur de cryptomonnaie

Si vous avez un fichier exécutable malveillant, vous devez le supprimer.

  1. Supprimez les fichiers détectés sur tous les appareils infectés.

Vidéo de remédiation des mineurs de cryptomonnaie

Cette vidéo aborde ce flux de travail.