网络安全研究人员发现了一种新的加密劫持活动,该活动利用易受攻击的驱动程序来禁用已知安全解决方案(EDR),并阻止所谓的“自带漏洞驱动程序”(BYOVD)攻击的检测。
弹性安全实验室正在以REF4578的名义跟踪该活动,并将主要有效载荷作为GHOSTENGINE。中国网络安全公司Antiy Labs之前的研究将该活动代号为HIDDEN SHOVEL。
弹性研究人员Salim Bitam、Samir Bousseaden、Terrance DeJesus和Andrew Pease说,GHOSTENGINE利用脆弱的驱动程序来终止和删除已知的EDR代理,这些代理可能会干扰部署的知名硬币矿工。
这项活动涉及不寻常的复杂性,以确保XMRig矿工的安装和持久性。
这一切都从一个可执行文件(“Tiworker.exe”)开始,该文件用于运行PowerShell脚本,该脚本检索一个混淆的PowerShell脚本,该脚本伪装成PNG图像(“get.png”),以从命令和控制(C2)服务器获取额外的有效负载。
这些模块——aswArPot.sys、IObitUnlockers.sys、curl.exe、smartsscreen.exe、oci.dll、backup.png和kill.png——在从配置的C2服务器或备份服务器通过HTTP下载它们后,在受感染的主机上启动,以防域不可用。它还包含基于FTP的回退机制。
此外,恶意软件试图禁用Microsoft Defender Antivirus,清除几个Windows事件日志通道,并确保C:\卷至少有10 MB的可用空间来下载文件,然后将其藏在C:\Windows\Fonts文件夹中。
研究人员说,如果没有,它将尝试从系统中删除大文件,然后再寻找另一个具有足够空间的合适卷,并在$RECYCLE.BIN\Fonts下创建一个文件夹。
PowerShell脚本还旨在在系统上创建三个计划任务,每20分钟运行一个恶意DLL,每小时通过批处理脚本启动自己,每40分钟执行smartsscreen.exe。
攻击链的核心有效载荷是smartsscreen.exe(又名GHOSTENGINE),其主要目的是使用易受攻击的Avast驱动程序(“aswArPot.sys”)停用安全进程,完成初始感染并执行矿工。
然后,通过IObit(“iobitunlockers.sys”)的另一个易受攻击的驱动程序删除安全代理二进制文件,然后从C2服务器下载XMRig客户端挖掘程序并执行。
DLL文件用于确保恶意软件的持久性,并通过获取get.png脚本并执行它从C2服务器下载更新,而“backup.png”Powershell脚本则用作后门,以便在系统上执行远程命令。
在被解释为冗余措施中,PowerShell脚本“kill.png”具有与smartsscreen.exe类似的功能,通过将可执行文件注入并加载到内存中来删除安全代理二进制文件。
开发之时,Uptycs威胁研究团队发现了自2024年1月以来大规模的持续操作,该操作利用Log4j日志记录实用程序(例如CVE-2021-44228)中的已知缺陷,将XMRig矿工交付到目标主机上。
安全研究员Shilpesh Trivedi说,在损害受害者机器后,它启动了与URL的联系,以获取用于部署XMRig矿工的shell脚本,或者,在特定情况下,它传播了Mirai或Gafgyt恶意软件。
大多数受影响的服务器位于中国,其次是香港、荷兰、日本、美国、德国、南非和瑞典。
BYOVD和其他破坏安全机制的方法#
BYOVD是一种越来越流行的技术,威胁行为者将已知易受攻击的签名驱动程序加载到内核中,并利用它执行特权操作,通常目的是解除安全进程的武装,并允许它们秘密运行。
以色列网络安全公司Cymulate指出,驱动程序在操作系统最特权级别0处运行。这使他们能够直接访问关键内存、CPU、I/O操作和其他基本资源。在BYOVD的情况下,攻击旨在加载一个脆弱的司机来进一步攻击。”
尽管微软从Windows 11 22H2开始默认部署了易用驱动程序拦截列表,但该列表每年只更新一到两次,因此用户必须定期手动更新,以获得最佳保护。
该活动的确切范围仍然未知,目前还不清楚谁是幕后黑手。然而,看似直接的非法加密货币采矿攻击背后的异常复杂性值得注意。
披露还发现了一种名为EDRaser的新技术,该技术利用Microsoft Defender(CVE-2023-24860和CVE-2023-36010)的缺陷来远程删除访问日志、Windows事件日志、数据库和其他文件。
SafeBreach说,这个问题也影响到卡巴斯基,源于两个安全程序都使用字节签名来检测恶意软件,从而允许威胁行为者将恶意软件签名植入合法文件中,并愚弄工具,让他们认为它们是恶意的。
这家网络安全公司单独发现了一个创造性的漏洞,以绕过Palo Alto Networks Cortex XDR提供的安全保护,并将其武器化,以部署反向外壳和勒索软件,有效地将其重新用于流氓攻击工具。
在其核心,旁路可以通过BYOVD攻击加载易受攻击的驱动程序(“rtcore64.sys”),并篡改解决方案,以防止合法管理员删除软件,并最终将恶意代码插入其进程之一,授予威胁行为者高特权,同时保持未被发现和持久性。
安全研究员Shmuel Cohen上个月表示,安全产品检测过程背后的逻辑应该受到严密保护。通过让攻击者通过解决方案的内容文件访问这种敏感的检测逻辑,他们更有可能设计出一种绕过它的方法。
另一种新方法是HookChain,作为巴西安全研究员Helvio Carvalho Junior,它涉及结合IAT挂钩、动态系统服务号码(SSN)分辨率和间接系统调用,以转义安全软件在用户模式下实现的监控和控制机制,特别是在NTDLL.dll库中。
Carvalho Junior在一篇新发表的论文中说,HookChain能够重定向所有主要Windows子系统的执行流程,如kernel32.dll、kernelbase.dll和user32.dll。
这意味着,一旦部署,HookChain确保应用程序上下文中的所有API调用都透明地执行,完全避免了[端点检测和响应软件]的检测。
参考链接:https://thehackernews.com/2024/05/ghostengine-exploits-vulnerable-drivers.html?_m=3n%2e009a%2e3362%2eya0ao45oo6%2e2d81
暂无评论内容