GhostEngine Malware
Egy REF4578 kódnevű kriptobányászati támadási kampányt fedeztek fel, amely egy GhostEngine nevű fenyegető rakományt telepít. A rosszindulatú program képes kihasználni a sebezhető illesztőprogramokat a biztonsági termékek kikapcsolására és egy XMRig bányász telepítésére. A kutatók hangsúlyozták ezeknek a kriptobányászati támadásoknak a szokatlan kifinomultságát azzal, hogy jelentéseket tettek közzé eredményeikkel. A szakértők azonban egyelőre nem tulajdonították a tevékenységet ismert fenyegetés szereplőinek, és nem árultak el részleteket a célpontokról/áldozatokról, így a kampány eredete és hatóköre továbbra sem ismert.
Tartalomjegyzék
A GhostEngine rosszindulatú program úgy kezdi meg támadását, hogy legitim fájlnak adja ki magát
A kiszolgáló feltörésének kezdeti módja továbbra is tisztázatlan, de a támadás a „Tiworker.exe” nevű fájl végrehajtásával kezdődik, amely legitim Windows-fájlként jelenik meg. Ez a végrehajtható fájl a GhostEngine kezdeti állomásoztatásaként szolgál, egy PowerShell-szkripthez, amelyet arra terveztek, hogy különböző modulokat töltsön le a fertőzött eszközön végzett különféle káros tevékenységekhez.
A végrehajtás után a Tiworker.exe letölt egy „get.png” nevű PowerShell-szkriptet a támadó Command-and-Control (C2) kiszolgálójáról, amely a GhostEngine elsődleges betöltőjeként működik. Ez a szkript lekéri a további modulokat és azok konfigurációit, letiltja a Windows Defendert, engedélyezi a távoli szolgáltatásokat, és törli a különféle Windows eseménynaplókat.
Ezt követően a get.png ellenőrzi, hogy van-e legalább 10 MB szabad hely a rendszeren, ami a fertőzés előrehaladásának feltétele, és a folyamatosság biztosítása érdekében ütemezett feladatokat hoz létre „OneDriveCloudSync”, „DefaultBrowserUpdate” és „OneDriveCloudBackup” néven.
A GhostEngine kártevő leállíthatja a biztonsági szoftvert az áldozatok eszközein
A PowerShell-szkript letölti és végrehajtja a smartsscreen.exe nevű végrehajtható fájlt, amely a GhostEngine elsődleges hasznos tartalmaként szolgál. Ennek a rosszindulatú programnak a feladata az Endpoint Detection and Response (EDR) szoftver leállítása és törlése, valamint az XMRig letöltése és elindítása a kriptovaluta bányászatához. Az EDR-szoftver letiltásához a GhostEngine két sebezhető kernel-illesztőprogramot használ: az aswArPots.sys-t (egy Avast-illesztőprogram) az EDR-folyamatok leállítására és az IObitUnlockers.sys-t (IObit-illesztőprogram) a megfelelő végrehajtható fájlok törlésére.
A tartósság érdekében az 'oci.dll' nevű DLL-t az 'msdtc' nevű Windows-szolgáltatás tölti be. Aktiváláskor ez a DLL letölti a 'get.png' új példányát, hogy a GhostEngine legújabb verzióját telepítse a gépre.
Tekintettel annak lehetőségére, hogy minden áldozat egyedi pénztárcát kaphat, a GhostEngine rosszindulatú támadásokból származó anyagi haszon jelentős lehet.
Javasolt biztonsági intézkedések a GhostEngine Miner malware ellen
A kutatók azt javasolják, hogy a védők maradjanak éberek az olyan jelekre, mint a gyanús PowerShell-végrehajtások, a szokatlan folyamattevékenységek és a kriptovaluta bányászati készletek felé irányuló hálózati forgalom. Ezenkívül a sebezhető illesztőprogramok telepítését és a kapcsolódó kernel módú szolgáltatások létrehozását minden rendszerben jelentős figyelmeztető jelként kell kezelni. Proaktív intézkedésként a sebezhető illesztőprogramokból (például aswArPots.sys és IobitUnlockers.sys) származó fájlok létrehozásának blokkolása segíthet enyhíteni ezeket a fenyegetéseket.
