GhostEngine 恶意软件试图利用您的计算机进行加密货币挖掘
GhostEngine 恶意软件是一个复杂的入侵套件,集成了各种恶意模块,利用易受攻击的驱动程序来禁用安全解决方案并促进加密挖掘。此恶意软件被称为 REF4578,使用 GHOSTENGINE 作为其主要负载。研究人员还在 HIDDENSHOVEL 名称下发现了此入侵套件的部分内容。
Table of Contents
主要特点和策略
应急和重复机制
GhostEngine 恶意软件作者已整合了多种应急和复制机制,以确保其弹性和持久性。这些机制有助于在部分操作中断的情况下维持恶意软件的功能。
禁用安全解决方案
GHOSTENGINE 利用易受攻击的驱动程序终止和删除已知的端点检测和响应 (EDR) 代理。此步骤对于允许部署挖矿机而不受安全软件干扰至关重要。
此恶意软件活动展现出不同寻常的复杂程度,以确保 XMRIG 挖矿程序的安装和持久性。它首先执行名为 Tiworker.exe 的 PE 文件,该文件伪装成合法的 Windows TiWorker.exe。此操作会触发一系列恶意活动。
感染和执行过程
执行后,Tiworker.exe 文件会下载并执行一个 PowerShell 脚本,该脚本负责协调整个入侵流程。此二进制文件运行硬编码的 PowerShell 命令来检索混淆的脚本 get.png,该脚本会从攻击者的命令和控制 (C2) 服务器下载其他工具、模块和配置。
GHOSTENGINE 负责检索和执行受感染机器上的模块。它主要使用 HTTP 从配置的域下载文件,如果域不可用,则使用备用 IP。FTP 用作辅助协议,使用嵌入式凭据来增加冗余。
系统清理和持久性
该脚本下载并执行 clearn.png,这是一个用于清除先前感染残留的组件。它会清除位于 C:\Program Files\Common Files\System\ado 和 C:\PROGRA 等目录中的恶意文件1\普通1\System\ado。此外,它还会删除名为以下的计划任务:
- Microsoft Assist 职位
- 系统帮助中心职位
- 系统刷新DNS
- 系统FlashDnsSrv
这些计划任务的成果可能表明之前曾被感染。
删除 GhostEngine 恶意软件的重要性
删除 GhostEngine 恶意软件对于防止您的系统被利用进行加密挖掘至关重要。未经同意的加密挖掘会严重降低您的计算机速度,并导致能源消耗和成本增加。
保护您的信息
确保删除此恶意软件有助于保护您的系统信息不被恶意行为者共享,从而保护您的个人和专业数据。
