Siber güvenlik araştırmacıları, bilinen güvenlik çözümlerini (EDR’ler) devre dışı bırakmak için savunmasız sürücüleri kullanan ve Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı adı verilen saldırının tespitini engelleyen yeni bir cryptojacking kampanyası keşfettiler.
Elastic Security Labs, kampanyayı REF4578 adı altında ve birincil yükü ise GHOSTENGINE olarak takip ediyor. Çinli siber güvenlik firması Antiy Labs’ın önceki araştırması, kod adı verilen GİZLİ KÜREK etkinliği.
Elastic araştırmacıları Salim Bitam, Samir Bousseaden, Terrance DeJesus ve Andrew Pease, “GHOSTENGINE, konuşlandırılmış ve iyi bilinen madeni para madencisine müdahale etmesi muhtemel bilinen EDR aracılarını sonlandırmak ve silmek için savunmasız sürücülerden yararlanıyor.” söz konusu.
“Bu kampanya, XMRig madencisinin hem kurulumunu hem de kalıcılığını sağlamak için alışılmadık miktarda karmaşıklık içeriyordu.”
Her şey, bir komuttan ek yükler almak için PNG görüntüsü (“get.png”) gibi görünen karmaşık bir PowerShell betiğini alan bir PowerShell betiğini çalıştırmak için kullanılan yürütülebilir bir dosyayla (“Tiworker.exe”) başlar. ve-kontrol (C2) sunucusu.
Bu modüller (aswArPot.sys, IObitUnlockers.sys, curl.exe, smartsscreen.exe, oci.dll, backup.png ve kill.png), yapılandırılmış C2’den HTTP üzerinden indirildikten sonra virüslü ana bilgisayarda başlatılır. etki alanlarının kullanılamaması durumunda sunucu veya yedek sunucu. Ayrıca FTP tabanlı bir geri dönüş mekanizması da içerir.
Ayrıca kötü amaçlı yazılım, Microsoft Defender Antivirus’ü devre dışı bırakmaya, birkaç Windows olay günlüğü kanalını temizlemeye ve dosyaları indirmek için C: biriminde en az 10 MB boş alan olduğundan emin olmaya çalışır; bunlar daha sonra C:Windows klasöründe saklanır. Yazı tipleri klasörü.
Araştırmacılar, “Aksi halde, yeterli alana sahip başka bir uygun birim aramadan ve $RECYCLE.BINFonts altında bir klasör oluşturmadan önce büyük dosyaları sistemden silmeye çalışacak” dedi.
PowerShell betiği ayrıca, her 20 dakikada bir kötü amaçlı bir DLL çalıştırmak, her saat başı bir toplu betik aracılığıyla kendisini başlatmak ve smartsscreen.exe’yi her 40 dakikada bir çalıştırmak için sistemde üç zamanlanmış görev oluşturmak üzere tasarlanmıştır.
Saldırı zincirinin temel yükü, ana amacı savunmasız Avast sürücüsünü (“aswArPot.sys”) kullanarak güvenlik işlemlerini devre dışı bırakmak, ilk bulaşmayı tamamlamak ve madenciyi çalıştırmak olan smartsscreen.exe’dir (diğer adıyla GHOSTENGINE).
Güvenlik aracısı ikili dosyası daha sonra IObit’teki (“iobitunlockers.sys”) başka bir savunmasız sürücü aracılığıyla silinir ve ardından XMRig istemci madenciliği programı C2 sunucusundan indirilir ve çalıştırılır.
DLL dosyası, kötü amaçlı yazılımın kalıcılığını sağlamak ve get.png komut dosyasını alıp çalıştırarak C2 sunucularından güncellemeleri indirmek için kullanılırken, “backup.png” Powershell komut dosyası, uzaktan komut yürütülmesini etkinleştirmek için bir arka kapı işlevi görür. sistem.
Artıklık önlemi olarak yorumlanan PowerShell betiği “kill.png”, yürütülebilir bir dosyayı belleğe enjekte ederek ve belleğe yükleyerek güvenlik aracısı ikili dosyalarını silmek için smartsscreen.exe ile benzer yeteneklere sahiptir.
Bu gelişme, Uptycs Tehdit Araştırma Ekibi’nin, hedeflenen ana bilgisayarlara bir XMRig madencisi sunmak için Log4j kayıt yardımcı programında (örneğin, CVE-2021-44228) bilinen kusurlardan yararlanan, Ocak 2024’ten bu yana devam eden büyük ölçekli bir operasyonu keşfetmesiyle ortaya çıktı.
Güvenlik araştırmacısı Shilpesh Trivedi, “Kurban makinenin güvenliğini ihlal ettikten sonra, XMRig madencisinin konuşlandırılması için bir kabuk komut dosyası almak üzere bir URL ile bağlantı kurmaya başladı veya alternatif olarak seçilmiş örneklerde Mirai veya Gafgyt kötü amaçlı yazılımını yaydı.” söz konusu.
Etkilenen sunucuların çoğunluğu Çin’de bulunuyor ve bunu Hong Kong, Hollanda, Japonya, ABD, Almanya, Güney Afrika ve İsveç takip ediyor.
BYOVD ve Güvenlik Mekanizmalarını Zayıflatmaya Yönelik Diğer Yöntemler
BYOVD bir giderek daha popüler hale gelen teknik Burada bir tehdit aktörü, bilinen güvenlik açığına sahip imzalı bir sürücüyü getirir, çekirdeğe yükler ve genellikle güvenlik süreçlerini devre dışı bırakmak ve gizlice çalışmalarına izin vermek amacıyla ayrıcalıklı eylemler gerçekleştirmek için onu kullanır.
İsrailli siber güvenlik firması Cymulate, “Sürücüler işletim sisteminin en ayrıcalıklı seviyesi olan 0 halkasında çalışıyor” notlar. “Bu onlara kritik belleğe, CPU’ya, G/Ç işlemlerine ve diğer temel kaynaklara doğrudan erişim sağlıyor. BYOVD durumunda, saldırı, saldırıyı ilerletmek için savunmasız bir sürücüyü yüklemek üzere tasarlandı.”
Microsoft dağıtmış olmasına rağmen Savunmasız Sürücü Engelleme Listesi Windows 11 22H2’den başlayarak varsayılan olarak liste yılda yalnızca bir veya iki kez güncellenir ve optimum koruma için kullanıcıların listeyi düzenli aralıklarla manuel olarak güncellemesi gerekir.
Kampanyanın tam kapsamı bilinmiyor ve arkasında kimin olduğu henüz belli değil. Bununla birlikte, basit bir yasa dışı kripto para madenciliği saldırısı gibi görünen saldırının ardındaki olağandışı karmaşıklık dikkat çekiyor.
Açıklama aynı zamanda yeni bir tekniğin keşfini de takip ediyor. EDRaser Microsoft Defender’daki kusurlardan yararlanan (CVE-2023-24860 Ve CVE-2023-36010) erişim günlüklerini, Windows olay günlüklerini, veritabanlarını ve diğer dosyaları uzaktan silmek için.
sorunSafeBreach, Kaspersky’yi de etkileyen bu durumun, her iki güvenlik programının da kötü amaçlı yazılımları tespit etmek için bayt imzaları kullanması, böylece bir tehdit aktörünün yasal dosyalara kötü amaçlı yazılım imzaları yerleştirmesine ve araçları kötü amaçlı olduklarını düşünerek kandırmasına olanak sağlamasından kaynaklandığını söyledi.
Siber güvenlik şirketi ayrıca bir bilgiyi de ortaya çıkardı. yaratıcı istismar Palo Alto Networks Cortex XDR tarafından sunulan güvenlik korumalarını aşmak ve onu bir ters kabuk ve fidye yazılımı dağıtmak için silah haline getirmek ve onu etkili bir şekilde hileli bir saldırı aracına dönüştürmek.
Özünde bypass, bir BYOVD saldırısı yoluyla savunmasız bir sürücünün (“rtcore64.sys”) yüklenmesini ve yasal bir yöneticinin yazılımı kaldırmasını ve sonuçta süreçlerinden birine kötü amaçlı kod eklemesini önlemek için çözüme müdahale edilmesini mümkün kılar. Tehdit aktörüne tespit edilmeden ve ısrarla kalarak yüksek ayrıcalıklar tanınması.
Güvenlik araştırmacısı Shmuel Cohen, “Bir güvenlik ürününün tespit edilme süreçlerinin arkasındaki mantık yakından korunmalıdır” dedi söz konusu geçen ay. “Saldırganlara çözümün içerik dosyaları aracılığıyla bu hassas algılama mantığına erişim izni verdiğinizde, saldırganların bunu aşmanın bir yolunu bulma olasılıkları çok daha yüksek.”
Bir başka yeni yöntem ise Brezilyalı güvenlik araştırmacısı Helvio Carvalho Junior’un IAT kancalama, dinamik sistem hizmet numaralarını birleştirmeyi içeren HookChain’dir (SSN) çözümleme ve özellikle NTDLL.dll kitaplığında kullanıcı modunda güvenlik yazılımı tarafından uygulanan izleme ve kontrol mekanizmalarından kaçmak için dolaylı sistem çağrıları.
“HookChain, kernel32.dll, kernelbase.dll ve user32.dll gibi tüm önemli Windows alt sistemlerinin yürütme akışını yeniden yönlendirme yeteneğine sahip.” Carvalho Junior söz konusu yeni yayınlanan bir makalede.
“Bu, HookChain’in bir kez konuşlandırıldığında, bir uygulama bağlamındaki tüm API çağrılarının şeffaf bir şekilde gerçekleştirilmesini ve herhangi bir uygulama tarafından tespit edilmesini tamamen önlediği anlamına gelir. [Endpoint detection and response software]”