Savunmasız sürücüleri hedef alan yeni bir kötü amaçlı yazılım sonlandırmak ve böylece kaçmak Şimdilik ayrıntılı bir kripto madencilik kampanyasının hizmetinde kullanılan uç nokta tespit ve yanıt (EDR) çözümleri gün ışığına çıktı.
Elastic Security Labs’taki araştırmacılar, GhostEngine adlı çok modlu bir kötü amaçlı yazılım kullanan, “REF4578” adlı bir “izinsiz giriş seti” adını verdikleri şeyi belirlediler; EDR’yi devre dışı bırakabilir, ortaya çıkardılar bugün yayınlanan bir blog yazısında. Saldırı aynı zamanda bir kripto madenci çalıştırmanın yanı sıra kalıcılık oluşturma ve daha önce belgelenmemiş bir arka kapı kurma yeteneklerini de gösteriyor.
“GhostEngine, savunmasız sürücülerden yararlanarak sonlandırıyor ve bilinen EDR aracılarını sil Elastic araştırmacıları Salim Bitam, Samir Bousseaden, Terrance DeJesus ve Andrew Pease gönderide şöyle yazdı: “Bu kampanya, hem kurulumu hem de kalıcılığı sağlamak için alışılmadık miktarda karmaşıklık içeriyordu.” XMRig madencisinin.”
Bu arada Antiy Laboratuvarlarından bir ekip ayrıca gözlemlendi Bir blog gönderisine göre, yükü “Gizli Kürek” olarak adlandıran ve onu EDR’yi devre dışı bırakmak ve bir arka kapı kurmak için iki aşamalı bir yaklaşım sunan bir “madencilik Truva Atı” olarak nitelendiren saldırılar.
Sonuçta, her iki araştırmacı grubunun da tanımladığı gibi kampanyanın amacı, kurumsal bir ağda mevcut güvenlik engellerini ortadan kaldırmak ve bunu, yöneticiler eylemi tespit etmeden kripto para birimi madenciliği yapmak için kullanmaktır. Saldırganların kullandığı meşru madenci XMRig, Monero madenciliği için kullanılıyor.
Güvenlik ekibi, kampanyanın hedefinin hangi kuruluş veya kişiler olduğunu açıklamadı ve bunun arkasında hangi tehdit aktörünün olabileceğini belirlemedi.
GhostEngine Saldırı Vektörü
Elastic tarafından açıklandığı gibi, REF4578’in ilk izinsiz girişi, meşru Windows TiWorker.exe dosyasının kimliğine bürünen Tiworker.exe adlı bir PE dosyasının yürütülmesiyle meydana gelir.
Araştırmacılar, “Bu dosya, izinsiz girişin tüm yürütme akışını düzenleyen bir PowerShell betiğini indirir ve çalıştırır” diye yazdı. Bu işlem, saldırgan araçlarını, GhostEngine kötü amaçlı yazılım modüllerini ve yapılandırmaları saldırganın komuta ve kontrol (C2) sunucusundan indirir.
GhostEngine daha sonra çeşitli saldırı modüllerini makineye indirip çalıştırmaya devam eder. Görevleri arasında aynı kötü amaçlı yazılım ailesine ait ancak farklı kampanyalardan gelen önceki enfeksiyon kalıntılarının sistemi temizlemesi, ayrıca Windows Defender’ı devre dışı bırakma ve çeşitli Windows olay günlüğü kanallarını temizleme girişimi de yer alıyor.
Kötü amaçlı yazılımın ayrıca bir kalıcılık mekanizması ve modüllerini virüslü sisteme indirmeye yönelik bir süreci vardır. Elastic araştırmacıları, bu modüllerin “güvenlik araçlarına müdahale edebildiğini, bir arka kapı oluşturabildiğini ve yazılım güncellemelerini kontrol edebildiğini” yazdı.
En ilginç olanı, modüllerin bir EDR aracı denetleyicisi ve bir kripto madenciyi indirmeden ve kurmadan önce öncelikle tüm aktif EDR aracı işlemlerini sonlandıran madenci modülünü içermesidir. Elastic’e göre C++ ile yazılmış ve işleyişinde yedeklilik var. Ayrıca, arka kapı gibi çalışan ve sistemde uzaktan komut yürütülmesine olanak tanıyan bir PowerShell betiği de içerir. Elastic araştırmacıları ayrıca kampanyada kullanılan XMRig madencisinden yapılandırma dosyasını da çıkardılar; “bu son derece değerliydi, çünkü Monero Ödeme Kimliği hakkında raporlama yapmamıza ve çalışan ve havuz istatistiklerini, madencilik kripto para birimini, işlem kimliklerini ve para çekme işlemlerini takip etmemize olanak sağladı. ” yazdılar.
GhostEngine’i Algılamak
Saldırganların saldırılar düzenlediği bilindiğinden EDR çözümlerinden kaçının Savunmacıların bu engelleri nasıl tespit edeceklerini önceden belirlemeleri önemlidir. ihlal edildi.
GhostEngine kötü amaçlı yazılımı açısından ilk hedefi, uç nokta güvenlik çözümlerini devre dışı bırakmak ve güvenlik ve sistem günlükleri gibi, süreç oluşturmayı ve hizmet kaydını kaydeden belirli Windows olay günlüklerini devre dışı bırakmaktır.
Bu nedenle araştırmacılar, kuruluşların bir ağdaki varlığını tespit etmek için aşağıdakiler de dahil olmak üzere bu ilk eylemlerin tespitine ve önlenmesine öncelik vermesini tavsiye etti: şüpheli PowerShell yürütme; alışılmadık dizinlerden yürütme; ayrıcalıkların sistem bütünlüğüne yükseltilmesi; ve savunmasız sürücülerin dağıtılması ve ilgili çekirdek modu hizmetlerinin kurulması.
Elastic araştırmacıları, “Savunmasız sürücüler yüklendikten sonra tespit fırsatları önemli ölçüde azalır ve kuruluşların, günlükleri SIEM’lerine iletmeyi durduran tehlikeye atılmış uç noktalar bulması gerekir” diye yazdı.
Araştırmacılar ayrıca, DNS kaydı aramalarının HTTP (80) ve HTTPS (443) gibi iyi bilinen bağlantı noktaları üzerinden bilinen madencilik havuzu alanlarına işaret etmesi durumunda ağ trafiğinin oluşturulabileceğini ve tanımlanabilir olabileceğini belirtti. Bu arada, Stratum’un da madenciler için varsayılan olarak 4444 numaralı bağlantı noktası üzerinden bir başka popüler ağ protokolü olduğunu söylediler.
Kampanyayla ilişkili tespit kuralları ve davranış önleme olayları şunları içerir: şüpheli PowerShell indirmeleri; Script Interpreter aracılığıyla oluşturulan hizmet kontrolü; yerel zamanlanmış görev oluşturma; olağandışı bir yönetmenden sürecin yürütülmesi; alışılmadık ebeveyn-çocuk ilişkisi; Windows olay günlüklerinin temizlenmesi; ve diğerlerinin yanı sıra Microsoft Windows Defender’a müdahale etmek.