Kriptovaluta-bányászat az EDR letiltásával

May 22, 2024 Yanac GhostEngine, Kriptovaluta, XMRig

Az Elastic Security Labs kutatói felfedeztek egy GhostEngine nevű kifinomult rosszindulatú programot, amelyet arra terveztek, hogy letiltsa a vírusvédelmet, megsemmisítse a bizonyítékokat, és kriptovaluta-bányász szoftverrel fertőzzön meg gépeket. A GhostEngine elsődleges funkciója a végponti biztonsági megoldások, például a Microsoft Defender működésképtelenné tétele azáltal, hogy letiltja a Windows bizonyos eseménynaplóit, amelyek nyomon követik a folyamatok létrehozását és a szolgáltatások regisztrációját. A kártevő azonosítja a futó végpontvédelmi szoftvereket (EDR), és kihasználja az illesztőprogramok ismert sebezhetőségeit, például az Avast anti-rootkit fájlját, hogy hozzáférést szerezzen a kernelhez, és megszüntesse ezeket a biztonsági ügynököket. A smartscreen.exe nevű rosszindulatú fájl ezután törli a biztonsági ügynök binárisát az IObit illesztőprogramjának segítségével.

Miután az EDR-t semlegesítették, a GhostEngine letölti és telepíti az XMRig-et, egy legitim monero kriptopénz-bányászprogramot, amely az összes bányászott érmét egy támadó által ellenőrzött pénztárcába irányítja. A fertőzés a TiWorker.exe Windows fájlnak álcázott rosszindulatú bináris programmal kezdődik, amely egy PowerShell szkriptet hajt végre, hogy további eszközöket és konfigurációkat töltsön le egy támadó által ellenőrzött szerverről. A rosszindulatú szoftver a magas rendszerjogokkal rendelkező ütemezett feladatok létrehozásával biztosítja a perzisztenciát. Emellett egy backdoor komponens lehetővé teszi a távoli parancsfuttatást, ami tovább növeli a támadók ellenőrzését a fertőzött rendszer felett.

Annak ellenére, hogy a támadók egy megfigyelt esetben csak 60 dollár körüli összeget szereztek, a kampánynak az EDR-védelmek széles körének letiltására való képessége alternatív észlelési módszereket tesz szükségessé a rendszergazdák számára. Az Elastic Security Labs kiadta a YARA-szabályokat, és olyan mutatókat bocsátott rendelkezésre, mint a fájlhashek, IP-címek és tartománynevek, amelyek segítik a fertőzések azonosítását. A GhostEngine működésének összetett és lopakodó jellege aláhúzza a robusztus kiberbiztonsági intézkedések és a folyamatos éberség szükségességét.

(forrás)