GhostEngine 恶意软件

代号为 REF4578 的加密货币挖矿攻击活动被发现部署了名为 GhostEngine 的威胁性负载。该恶意软件能够利用易受攻击的驱动程序关闭安全产品并部署XMRig矿工。研究人员通过发布包含其研究结果的报告强调了这些加密货币挖矿攻击的异常复杂性。然而，到目前为止，专家们还没有将该活动归咎于任何已知的威胁行为者，也没有透露有关目标/受害者的任何详细信息，因此该活动的起源和范围仍然未知。

GhostEngine 恶意软件通过伪装成合法文件开始攻击

最初的服务器入侵方法尚不清楚，但攻击始于执行名为“Tiworker.exe”的文件，该文件伪装成合法的 Windows 文件。此可执行文件是 GhostEngine 的初始阶段负载，GhostEngine 是一个 PowerShell 脚本，旨在下载各种模块以在受感染的设备上执行不同的有害活动。

执行后，Tiworker.exe 会从攻击者的命令和控制 (C2) 服务器下载名为“get.png”的 PowerShell 脚本，作为 GhostEngine 的主要加载器。此脚本会检索其他模块及其配置、禁用 Windows Defender、启用远程服务并清除各种 Windows 事件日志。

随后，get.png 检查系统上至少 10MB 的可用空间（这是推进感染的必要条件），并创建名为“OneDriveCloudSync”、“DefaultBrowserUpdate”和“OneDriveCloudBackup”的计划任务以确保持久性。

GhostEngine 恶意软件可以关闭受害者设备上的安全软件

PowerShell 脚本继续下载并执行名为 smartsscreen.exe 的可执行文件，该可执行文件是 GhostEngine 的主要负载。该恶意软件的任务是终止和删除端点检测和响应 (EDR) 软件，并下载和启动 XMRig 来挖掘加密货币。为了禁用 EDR 软件，GhostEngine 利用两个易受攻击的内核驱动程序：aswArPots.sys（Avast 驱动程序）用于终止 EDR 进程，IObitUnlockers.sys（IObit 驱动程序）用于删除相应的可执行文件。

为了实现持久性，名为“msdtc”的 Windows 服务会加载名为“oci.dll”的 DLL。激活后，此 DLL 会下载“get.png”的新副本，以在计算机上安装最新版本的 GhostEngine。

由于每个受害者都可能被分配一个独特的钱包，GhostEngine 恶意软件攻击带来的经济收益可能会非常可观。

针对 GhostEngine 挖矿恶意软件的建议安全措施

研究人员建议防御者对可疑的 PowerShell 执行、异常的进程活动以及指向加密货币挖矿池的网络流量等指标保持警惕。此外，任何系统中都应将易受攻击的驱动程序的部署和相关内核模式服务的创建视为重要警告信号。作为一项主动措施，阻止从易受攻击的驱动程序（例如 aswArPots.sys 和 IobitUnlockers.sys）创建文件可以帮助缓解这些威胁。