Skip to main content

Los ataques de minería de GhostEngine acaban con la seguridad de EDR mediante controladores vulnerables

mayo 23, 2024


Se ha descubierto una campaña maliciosa de criptominería con nombre en código ‘REF4578’ que implementa una carga útil maliciosa llamada GhostEngine que utiliza controladores vulnerables para desactivar productos de seguridad e implementar un minero XMRig.

Investigadores de Laboratorios de seguridad elástica y Antillas han subrayado la inusual sofisticación de estos ataques de criptominería en informes separados y reglas de detección compartidas para ayudar a los defensores a identificarlos y detenerlos.

Sin embargo, ningún informe atribuye la actividad a actores de amenazas conocidos ni comparte detalles sobre los objetivos/víctimas, por lo que el origen y el alcance de la campaña siguen siendo desconocidos.

Motor fantasma

Si bien no está claro cómo se atacan inicialmente los servidores, el ataque del actor de amenazas comienza con la ejecución de un archivo llamado ‘Tiworker.exe’, que se hace pasar por un archivo legítimo de Windows.

Este ejecutable es la carga útil inicial de GhostEngine, un script de PowerShell que descarga varios módulos para realizar diferentes comportamientos en un dispositivo infectado.

Cuando se ejecuta Tiworker.exe, descargará un script de PowerShell llamado ‘get.png’ del servidor de comando y control (C2) del atacante, que actúa como el cargador principal de GhostEngine.

Este script de PowerShell descarga módulos adicionales y sus configuraciones, deshabilita Windows Defender, habilita servicios remotos y borra varios registros de eventos de Windows.

A continuación, get.png verifica que el sistema tenga al menos 10 MB de espacio libre, que es necesario para promover la infección, y crea tareas programadas denominadas ‘OneDriveCloudSync’, ‘DefaultBrowserUpdate’ y ‘OneDriveCloudBackup’ para lograr persistencia.

Tareas programadas agregadas para persistencia
Fuente: Seguridad Elástica

El script de PowerShell ahora descargará e iniciará un ejecutable llamado smartsscreen.exe, que actúa como carga útil principal de GhostEngine.

Este malware es responsable de finalizar y eliminar el software EDR y de descargar e iniciar XMRig para extraer criptomonedas.

Para finalizar el software EDR, GhostEngine carga dos controladores de kernel vulnerables: aswArPots.sys (controlador Avast), que se utiliza para finalizar los procesos EDR, y IObitUnlockers.sys (controlador Iobit) para eliminar el ejecutable asociado.

A continuación se muestra una lista de los procesos a los que se dirige el terminador EDR:

Lista EDR codificada utilizada tanto por kill.png como por smartscreen.exe
Fuente: Seguridad Elástica

Para lograr persistencia, un servicio de Windows llamado «msdtc» carga una DLL llamada «oci.dll». Cuando se inicie, esta DLL descargará una copia nueva de ‘get.png’ para instalar la última versión de GhostEngine en la máquina.

Aunque Elastic no ha visto cifras impresionantes del ID de pago único que examinaron, es posible que cada víctima venga con una billetera única, por lo que la ganancia financiera general podría ser significativa.

Cadena de ataque completa de GhostEngine
Fuente: Seguridad Elástica

Defensa contra GhostEngine

Los investigadores de Elastic sugieren que los defensores estén atentos a ejecuciones sospechosas de PowerShell, actividad de proceso inusual y tráfico de red que apunte a grupos de criptominería.

Además, la implementación de controladores vulnerables y la creación de servicios asociados en modo kernel deben considerarse señales de alerta en cualquier entorno.

Una medida agresiva es bloquear la creación de archivos desde controladores vulnerables como aswArPots.sys e IobitUnlockers.sys.

Elastic Security también proporcionó reglas YARA en el informe para ayudar a los defensores a identificar infecciones de GhostEngine.



Source link

Translate »