Flux de travail de remédiation des mineurs de cryptomonnaie
Procédez comme suit pour remédier à une attaque de mineur de cryptomonnaie.
Introduction
Les mineurs de monnaie sont des fichiers exécutables qui volent les cycles de CPU et la RAM pour effectuer les calculs miniers pour diverses cryptomonnaies. Ces variantes de programmes malveillants sont généralement très furtives parce qu’elles ne veulent pas causer de tort explicite, de sorte qu’elles peuvent garder l’exploitation minière en arrière-plan sur un appareil. Le symptôme le plus courant est une dégradation significative des performances d’un appareil.
Confirmer qu’il s’agit d’un mineur de cryptomonnaie
Tout d’abord, vous devez déterminer si vous êtes confronté à un mineurs de cryptomonnaie ou à une autre infection basée sur la persistance de Windows Management Instrumentation (WMI). Pour confirmer que vous avez une infection de mineur de cryptomonnaie, procédez comme suit :
-
Utilisez Microsoft Autoruns pour trouver l’infection. Voir Comment utiliser Microsoft Autoruns pour retrouver un malware non détecté
Une entrée s’affiche dans l’onglet WMI.
La capture d’écran ci-dessous montre un exemple de mineur de cryptomonnaie.
Mettre à jour et corriger vos systèmes
Assurez-vous que tous vos appareils disposent des derniers correctifs de sécurité Windows. Assurez-vous d’inclure le correctif pour l’exploit EternalBlue.
EternalBlue est un exploit qui tire profit d’une vulnérabilité dans Microsoft SMB. Le ransomware WannaCry a utilisé cet exploit pour se propager. Diverses familles de malwares l’utilisent maintenant. L’application de correctifs et la suppression d’un vecteur d’infection rend la tâche plus difficile aux mineurs de cryptomonnaie et vous protège contre d’autres malwares utilisant EternalBlue.
Microsoft a publié le correctif pour EternalBlue dans la mise à jour Microsoft : MS17-010. L’article officiel de Microsoft explique comment vérifier si un ordinateur possède le correctif. Voir Comment vérifier que MS17-010 est installé.
Sophos dispose d’un script PowerShell simple que vous pouvez exécuter sur des appareils individuels pour vous assurer qu’ils disposent du correctif. Retrouvez plus de renseignements à ce sujet sur Comment vérifier si une machine est vulnérable à EternalBlue - MS17-010.
Pour appliquer les correctifs sur vos appareils et les mettre à jour, procédez de la manière suivante :
- Vérifiez si vos appareils sont vulnérables à EternalBlue.
- Mettez à jour vos appareils avec les derniers correctifs de sécurité Windows.
-
Utilisez ces commandes PowerShell pour extraire le filtre d’événements, le consommateur d’événements et filtrer les informations de liaison de consommateurs à partir de la base de données WMI.
wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt
-
Compressez les fichiers
.txt
générés dansC:\
et renommez-les[Machine_Name_WMI].zip
. -
Comparez vos fichiers à ces exemples à partir d’un appareil propre.
EventFilter.txt
CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0} EventAccess= EventNamespace=root\cimv2 Name=**SCM Event Log Filter** Query=select * from MSFT_SCMEventLogEvent QueryLanguage=WQL
EventConsumer.txt
Category=0 CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0} EventID=0 EventType=1 InsertionStringTemplates={""} MachineName= MaximumQueueSize= Name=**SCM Event Log Consumer** NameOfRawDataProperty= NameOfUserSIDProperty=sid NumberOfInsertionStrings=0 SourceName=Service Control Manager UNCServerName=
FilterToConsumerBinding.txt
Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer"" CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0} DeliverSynchronously=FALSE DeliveryQoS= Filter="__EventFilter.Name="**SCM Event Log Filter**"" MaintainSecurityContext=FALSE SlowDownProviders=FALSE
-
Si vos fichiers contiennent des entrées différentes ou plus que celles affichées pour un appareil propre, utilisez ces scripts pour les nettoyer.
-
Recherchez les informations appropriées dans le texte en gras, remplacez les informations requises dans les scripts suivants et exécutez-les.
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject -Verbose Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
-
Trouver le mineur de cryptomonnaie
Un mineur de cryptomonnaie est un fichier exécutable ou un script prenant la forme d’une tâche planifiée ou d’une entrée WMI.
- Utilisez Microsoft Autoruns pour déterminer le type de mineur de cryptomonnaie que vous avez.
-
Si vous disposez d’un fichier exécutable malveillant, envoyez un échantillon. Voir Envoyer un échantillon.
Une fois les signatures mises à jour et publiées, Sophos les nettoie automatiquement de tous les appareils.
Si vous ne trouvez pas le fichier exécutable, contactez l’équipeSophos Rapid Response.
-
Si vous avez un script, utilisez les articles suivants pour vous aider à les traiter.
- Comment lancer une investigation du ver WannaMine - CryptoJacking
- Comment supprimer WMI based JavaScript CoinMiner
- Le malware Lemon_Duck PowerShell chiffre les réseaux d’entreprise en échange d’une rançon – Actualités Sophos Cet article contient des informations utiles si le mineur de cryptomonnaie utilise des tâches planifiées.
Supprimer le mineur de cryptomonnaie
Si vous avez un fichier exécutable malveillant, vous devez le supprimer.
- Supprimez les fichiers détectés sur tous les appareils infectés.
Vidéo de remédiation des mineurs de cryptomonnaie
Cette vidéo aborde ce flux de travail.