GhostEngine'i pahavara
Avastati krüptokaevandamise ründekampaania koodnimega REF4578, mis kasutab ähvardavat koormat nimega GhostEngine. Pahavara on võimeline turvatoodete väljalülitamiseks ja XMRig- kaevurite juurutamiseks ära kasutama haavatavaid draivereid. Teadlased on rõhutanud nende krüptokaevandamise rünnakute ebatavalist keerukust, avaldades oma leidudega aruandeid. Siiski ei ole eksperdid siiani omistanud tegevust ühelegi teadaolevale ohutegijale ega avaldanud üksikasju sihtmärkide/ohvrite kohta, mistõttu kampaania päritolu ja ulatus on teadmata.
Sisukord
GhostEngine'i pahavara alustab rünnakut, esitades end õiguspärase failina
Serveri rikkumise esialgne meetod jääb ebaselgeks, kuid rünnak algab faili Tiworker.exe käivitamisega, mis kujutab endast seaduslikku Windowsi faili. See käivitatav fail toimib GhostEngine'i, PowerShelli skripti, mille eesmärk on erinevate moodulite allalaadimiseks nakatunud seadmes erinevate kahjulike tegevuste jaoks, esmase kasuliku koormusena.
Pärast käivitamist laadib Tiworker.exe ründaja käsu-ja juhtimise (C2) serverist alla PowerShelli skripti nimega „get.png”, mis toimib GhostEngine'i peamise laadijana. See skript hangib lisamooduleid ja nende konfiguratsioone, keelab Windows Defenderi, lubab kaugteenuseid ja kustutab erinevad Windowsi sündmuste logid.
Seejärel kontrollib get.png, kas süsteemis on vähemalt 10 MB vaba ruumi, mis on nakkuse edasiarendamise nõue, ning loob püsivuse tagamiseks ajastatud ülesanded nimedega 'OneDriveCloudSync', 'DefaultBrowserUpdate' ja 'OneDriveCloudBackup'.
GhostEngine'i pahavara võib ohvrite seadmete turbetarkvara välja lülitada
PowerShelli skript laadib alla ja käivitab käivitatava faili nimega smartsscreen.exe, mis on GhostEngine'i peamine kasulik koormus. Selle pahavara ülesandeks on lõpetada ja kustutada lõpp-punkti tuvastamise ja reageerimise (EDR) tarkvara ning laadida alla ja käivitada XMRig krüptovaluuta kaevandamiseks. EDR-tarkvara keelamiseks kasutab GhostEngine kahte haavatavat kerneli draiverit: aswArPots.sys (Avast-draiver) EDR-protsesside lõpetamiseks ja IObitUnlockers.sys (IObiti draiver) vastavate käivitatavate failide kustutamiseks.
Püsimise huvides laadib Windowsi teenus nimega msdtc DLL-i nimega oci.dll. Aktiveerimisel laadib see DLL alla faili "get.png" värske koopia, et installida masinasse GhostEngine'i uusim versioon.
Arvestades võimalust, et igale ohvrile võidakse määrata ainulaadne rahakott, võib GhostEngine'i pahavara rünnakutest saadav rahaline kasu olla märkimisväärne.
Soovitatavad turvameetmed GhostEngine Miner pahavara vastu
Teadlased soovitavad kaitsjatel olla valvsad selliste näitajate suhtes nagu kahtlased PowerShelli hukkamised, ebaharilikud protsessitoimingud ja krüptovaluutade kaevandamise kogumitele suunatud võrguliiklus. Lisaks tuleks haavatavate draiverite juurutamist ja sellega seotud kernelirežiimi teenuste loomist käsitleda mis tahes süsteemis oluliste hoiatusmärkidena. Ennetava meetmena võib haavatavatest draiveritest (nt aswArPots.sys ja IobitUnlockers.sys) failide loomise blokeerimine aidata neid ohte leevendada.
