详细内容或原文请订阅后点击阅览
GhostEngine:黑客如何使用 Avast 驱动程序挖掘加密货币
即使是 EDR 解决方案也无力应对如此深思熟虑的活动。
来源:安全实验室新闻频道即使是 EDR 解决方案也无力应对如此深思熟虑的活动。
Elastic Security Labs 和 Antiy 发现了一个代号为 REF4578 的新的加密货币挖掘活动,在此期间 GhostEngine 恶意软件使用易受攻击的驱动程序来禁用防病毒程序并启动 XMRig 挖矿程序。
弹性安全实验室 安天 XMRigElastic Security Labs 和安天注意到该攻击的高度复杂性。两家公司在报告中分享了威胁检测规则,以帮助防御者检测和阻止此类攻击。然而,没有任何报告将该活动与已知的黑客组织联系起来,也没有提供有关受害者的详细信息,因此该活动的起源和范围仍然未知。
弹性安全实验室 安天GhostEngine 的工作原理
GhostEngine 的工作原理目前尚不清楚攻击者如何设法破解服务器,但攻击从执行 Tiworker.exe 文件开始,该文件将自身伪装成合法的 Windows 文件。该可执行文件是启动 GhostEngine 的第一阶段,GhostEngine 是一个 PowerShell 脚本,用于将各种模块加载到受感染的设备上。
一旦启动,Tiworker.exe 就会从 C2 服务器下载 get.png 脚本,该服务器充当主要的 GhostEngine 加载程序。 PowerShell 脚本加载其他模块及其配置、禁用 Windows Defender、启用远程服务以及清除各种 Windows 事件日志。
该脚本会检查至少 10 MB 的可用磁盘空间以继续感染,并创建计划任务以确保威胁持续存在。然后,该脚本下载并运行可执行文件 smartsscreen.exe,这是主要的 GhostEngine 恶意软件。该程序禁用并删除 EDR 解决方案,还下载并运行 XMRig 以进行加密货币挖掘。
GhostEngine感染链
GhostEngine感染链反 GhostEngine 措施
反 GhostEngine 措施