„GhostEngine“ kenkėjiška programa
Buvo aptikta kriptovaliutų gavybos atakos kampanija kodiniu pavadinimu REF4578, dislokuojanti grėsmingą naudingą krovinį, pavadintą GhostEngine. Kenkėjiška programa gali išnaudoti pažeidžiamas tvarkykles, kad išjungtų saugos produktus ir įdiegtų XMRig miner. Tyrėjai pabrėžė neįprastą šių kriptovaliutų gavybos atakų sudėtingumą paskelbdami ataskaitas su savo išvadomis. Tačiau iki šiol ekspertai šios veiklos nepriskyrė jokiems žinomiems grėsmės veikėjams ir neatskleidė jokių detalių apie taikinius/aukas, todėl kampanijos kilmė ir apimtis lieka nežinomi.
Turinys
„GhostEngine“ kenkėjiška programa pradeda ataką apsimesdama teisėtu failu
Pradinis serverio pažeidimo metodas lieka neaiškus, tačiau ataka prasideda paleidus failą pavadinimu „Tiworker.exe“, kuris yra teisėtas „Windows“ failas. Šis vykdomasis failas naudojamas kaip pradinė „GhostEngine“ – „PowerShell“ scenarijaus, skirto įvairiems moduliams, skirtiems įvairioms žalingoms užkrėstame įrenginyje vykdyti, apkrovai.
Vykdant „Tiworker.exe“ iš užpuoliko komandų ir valdymo (C2) serverio atsisiunčiamas „PowerShell“ scenarijus, pavadintas „get.png“, veikiantis kaip pagrindinis „GhostEngine“ įkroviklis. Šis scenarijus nuskaito papildomus modulius ir jų konfigūracijas, išjungia „Windows Defender“, įgalina nuotolines paslaugas ir išvalo įvairius „Windows“ įvykių žurnalus.
Vėliau get.png patikrina, ar sistemoje yra bent 10 MB laisvos vietos, o tai yra užkrato pažangos reikalavimas, ir sukuria suplanuotas užduotis, pavadintas „OneDriveCloudSync“, „DefaultBrowserUpdate“ ir „OneDriveCloudBackup“, kad užtikrintų patvarumą.
„GhostEngine“ kenkėjiška programa gali išjungti saugos programinę įrangą aukų įrenginiuose
„PowerShell“ scenarijus atsisiunčia ir paleidžia vykdomąjį failą, pavadintą smartsscreen.exe, kuris naudojamas kaip pagrindinė „GhostEngine“ apkrova. Šiai kenkėjiškai programai pavesta nutraukti ir ištrinti Endpoint Detection and Response (EDR) programinę įrangą ir atsisiųsti bei paleisti XMRig, kad būtų galima išgauti kriptovaliutą. Kad išjungtų EDR programinę įrangą, „GhostEngine“ naudoja dvi pažeidžiamas branduolio tvarkykles: aswArPots.sys („Avast“ tvarkyklė), kad užbaigtų EDR procesus, ir IObitUnlockers.sys (IObit tvarkyklė), kad pašalintų atitinkamus vykdomuosius failus.
Kad būtų išlaikytas, DLL pavadinimu „oci.dll“ įkelia „Windows“ paslauga, vadinama „msdtc“. Suaktyvinus, šis DLL atsisiunčia naują „get.png“ kopiją, kad įrenginyje būtų įdiegta naujausia „GhostEngine“ versija.
Atsižvelgiant į galimybę, kad kiekvienai aukai gali būti priskirta unikali piniginė, finansinė nauda iš „GhostEngine“ kenkėjiškų programų atakų gali būti didelė.
Rekomenduojamos saugos priemonės prieš „GhostEngine Miner“ kenkėjišką programą
Tyrėjai rekomenduoja gynėjams išlikti budriems dėl tokių rodiklių kaip įtartini „PowerShell“ vykdymai, neįprasta procesų veikla ir tinklo srautas, nukreiptas į kriptovaliutų kasybos telkinius. Be to, pažeidžiamų tvarkyklių diegimas ir susijusių branduolio režimo paslaugų kūrimas turėtų būti traktuojami kaip svarbūs įspėjamieji ženklai bet kurioje sistemoje. Kaip iniciatyvi priemonė, blokuojant failų kūrimą iš pažeidžiamų tvarkyklių, tokių kaip aswArPots.sys ir IobitUnlockers.sys, gali padėti sumažinti šias grėsmes.
