„GhostEngine“ kenkėjiška programa bando naudoti jūsų kompiuterį kriptovaliutams
„GhostEngine“ kenkėjiška programa yra sudėtingas įsibrovimų rinkinys, kuriame integruoti įvairūs kenkėjiški moduliai, naudojant pažeidžiamas tvarkykles, kad išjungtų saugos sprendimus ir palengvintų šifravimą. Ši kenkėjiška programa, vadinama REF4578, naudoja GHOSTENGINE kaip pagrindinę naudingąją apkrovą. Tyrėjai taip pat nustatė šio įsibrovimo rinkinio dalis pavadinimu HIDDENSHOVEL.
Table of Contents
Pagrindinės savybės ir taktika
Nenumatytų atvejų ir dubliavimosi mechanizmai
„GhostEngine“ kenkėjiškų programų autoriai įtraukė daugybę nenumatytų atvejų ir dubliavimo mechanizmų, kad užtikrintų atsparumą ir patvarumą. Šie mechanizmai padeda išlaikyti kenkėjiškos programos funkcionalumą, net jei kai kurios operacijos yra sutrikusios.
Apsaugos sprendimų išjungimas
GHOSTENGINE naudoja pažeidžiamas tvarkykles, kad nutrauktų ir pašalintų žinomus galutinio taško aptikimo ir atsako (EDR) agentus. Šis žingsnis yra labai svarbus, kad būtų galima įdiegti monetų kasyklą be saugumo programinės įrangos trikdžių.
Ši kenkėjiškų programų kampanija yra neįprastai sudėtinga, kad būtų užtikrintas XMRIG miner įdiegimas ir patvarumas. Jis prasideda PE failo, pavadinto Tiworker.exe, vykdymu, kuris pridengiamas kaip teisėtas Windows TiWorker.exe. Šis veiksmas suaktyvina kenkėjiškų veiksmų seką.
Infekcija ir vykdymo procesas
Vykdant Tiworker.exe failas atsisiunčiamas ir vykdomas PowerShell scenarijus, kuris organizuoja visą įsibrovimo srautą. Šis dvejetainis failas vykdo užkoduotą „PowerShell“ komandą, kad gautų užmaskuotą scenarijų get.png, kuris atsisiunčia papildomų įrankių, modulių ir konfigūracijų iš užpuoliko komandų ir valdymo (C2) serverio.
GHOSTENGINE yra atsakinga už modulių nuskaitymą ir vykdymą užkrėstame kompiuteryje. Ji pirmiausia naudoja HTTP failams atsisiųsti iš sukonfigūruoto domeno su atsarginiu IP, jei domenai nepasiekiami. FTP naudojamas kaip antrinis protokolas, naudojant įterptuosius kredencialus, kad būtų padidintas dubliavimas.
Sistemos valymas ir patvarumas
Scenarijus atsisiunčia ir paleidžia clearn.png, komponentą, skirtą pašalinti ankstesnių infekcijų likučius. Jis išvalo kenkėjiškus failus, esančius tokiuose kataloguose kaip C:\Program Files\Common Files\System\ado ir C:\PROGRA. 1\BENDRAS 1\Sistema\ado. Be to, jis pašalina suplanuotas užduotis, pavadintas:
- „Microsoft“ pagalbinis darbas
- Sistemos pagalbos centro darbas
- SystemFlushDns
- SystemFlashDnsSrv
Šių suplanuotų užduočių artefaktai gali rodyti ankstesnes infekcijas.
„GhostEngine“ kenkėjiškų programų pašalinimo svarba
Labai svarbu pašalinti „GhostEngine“ kenkėjišką programą, kad jūsų sistema nebūtų išnaudota šifravimui. Kriptominavimas be sutikimo gali žymiai sulėtinti jūsų kompiuterį ir padidinti energijos sąnaudas bei išlaidas.
Jūsų informacijos apsauga
Šios kenkėjiškos programos pašalinimo užtikrinimas padeda apsaugoti jūsų sistemos informaciją nuo dalijimosi su kenkėjiškais veikėjais ir taip apsaugoti jūsų asmeninius ir profesinius duomenis.
