A GhostEngine rosszindulatú program kriptográfiai bányászásra próbálja használni a számítógépét
A GhostEngine Malware egy kifinomult behatolási készlet, amely különféle rosszindulatú modulokat integrál, sérülékeny illesztőprogramokat használva a biztonsági megoldások letiltására és a kriptominálás megkönnyítésére. Ez a REF4578 néven emlegetett rosszindulatú program a GHOSTENGINE-t használja elsődleges rakományként. A kutatók a behatolási halmaz egyes részeit is azonosították HIDDENSHOVEL néven.
Table of Contents
Főbb jellemzők és taktikák
Kontingencia és duplikációs mechanizmusok
A GhostEngine Malware szerzői számos kontingencia- és duplikációs mechanizmust alkalmaztak a rugalmasság és a kitartás biztosítása érdekében. Ezek a mechanizmusok segítenek fenntartani a rosszindulatú program működését még akkor is, ha a működés egyes részei megszakadnak.
Biztonsági megoldások letiltása
A GHOSTENGINE a sebezhető illesztőprogramokat használja fel az ismert végpontészlelési és válaszadási (EDR) ügynökök leállítására és törlésére. Ez a lépés kulcsfontosságú ahhoz, hogy lehetővé tegye az érmebányász telepítését a biztonsági szoftverek beavatkozása nélkül.
Ez a rosszindulatú programokkal kapcsolatos kampány szokatlan szintű bonyolultságot mutat az XMRIG bányász telepítésének és fennmaradásának biztosítása érdekében. A Tiworker.exe nevű PE-fájl végrehajtásával kezdődik, amely a legális Windows TiWorker.exe-nek álcázza magát. Ez a művelet rosszindulatú tevékenységek sorozatát indítja el.
A fertőzés és a végrehajtás folyamata
A végrehajtás során a Tiworker.exe fájl letölt és végrehajt egy PowerShell-szkriptet, amely levezényli a teljes behatolási folyamatot. Ez a bináris fájl egy keménykódolt PowerShell-parancsot futtat egy obfuszkált szkript, get.png lekéréséhez, amely további eszközöket, modulokat és konfigurációkat tölt le a támadó parancs- és vezérlőkiszolgálójáról (C2).
A GHOSTENGINE felelős a modulok lekéréséért és végrehajtásáért a fertőzött gépen. Elsősorban HTTP-t használ a fájlok letöltésére egy konfigurált tartományból, tartalék IP-címmel, ha a tartományok nem érhetők el. Az FTP másodlagos protokollként szolgál, beágyazott hitelesítő adatokat használva a redundancia növelése érdekében.
Rendszertisztítás és kitartás
A szkript letölti és végrehajtja a clearn.png fájlt, amely a korábbi fertőzések maradványainak eltávolítására szolgál. Megtisztítja a C:\Program Files\Common Files\System\ado és C:\PROGRA könyvtárakban található rosszindulatú fájlokat. 1\KÖZÖS 1\System\ado. Ezenkívül eltávolítja a következő ütemezett feladatokat:
- Microsoft Assist Job
- System Help Center Job
- SystemFlushDns
- SystemFlashDnsSrv
Ezen ütemezett feladatok műtermékei korábbi fertőzésekre utalhatnak.
A GhostEngine rosszindulatú program eltávolításának fontossága
A GhostEngine rosszindulatú program eltávolítása kulcsfontosságú ahhoz, hogy megakadályozzuk a rendszer kriptominálásra való kihasználását. A beleegyezés nélküli kriptográfia jelentősen lelassíthatja a számítógépet, és megnövekedett energiafogyasztáshoz és költségekhez vezethet.
Az Ön adatainak védelme
A kártevő eltávolításának biztosítása segít megvédeni a rendszer adatait a rosszindulatú szereplőkkel való megosztástól, ezáltal megóvja személyes és szakmai adatait.
