GhostEngine 惡意軟體嘗試使用您的電腦進行加密貨幣挖礦
GhostEngine 惡意軟體是一個複雜的入侵集,整合了各種惡意模組,利用易受攻擊的驅動程式來停用安全解決方案並促進加密貨幣挖礦。該惡意軟體稱為 REF4578,使用 GHOSTENGINE 作為其主要負載。研究人員也以 HIDDENSHOVEL 的名稱識別了該入侵集的部分內容。
Table of Contents
主要特點和策略
緊急和重複機制
GhostEngine 惡意軟體作者結合了許多緊急和重複機制來確保彈性和持久性。即使部分操作中斷,這些機制也有助於維持惡意軟體的功能。
停用安全解決方案
GHOSTENGINE 利用易受攻擊的驅動程式來終止和刪除已知的端點偵測和回應 (EDR) 代理程式。此步驟對於允許在不受安全軟體幹擾的情況下部署硬幣挖掘機至關重要。
此惡意軟體活動表現出異常複雜的程度,以確保 XMRIG 礦工的安裝和持久性。它首先執行名為 Tiworker.exe 的 PE 文件,該文件偽裝成合法的 Windows TiWorker.exe。此操作會觸發一系列惡意活動。
感染及執行流程
執行後,Tiworker.exe 檔案會下載並執行 PowerShell 腳本,該腳本會編排整個入侵流程。這個二進位檔案執行硬編碼的 PowerShell 命令來擷取混淆的腳本 get.png,該腳本從攻擊者的命令和控制 (C2) 伺服器下載其他工具、模組和設定。
GHOSTENGINE 負責在受感染的機器上檢索並執行模組。它主要使用 HTTP 從配置的網域下載文件,如果網域不可用,則使用備份 IP。 FTP 作為輔助協議,使用嵌入式憑證來增加冗餘。
系統清理與持久化
該腳本下載並執行clearn.png,這是一個旨在刪除先前感染殘留的元件。它清除位於 C:\Program Files\Common Files\System\ado 和 C:\PROGRA 等目錄中的惡意文件1\普通1\系統\ado.此外,它還會刪除名為:的排程任務:
- 微軟協助工作
- 系統幫助中心職位
- 系統刷新DNS
- 系統FlashDnsSrv
這些計劃任務的偽影可能表示先前的感染。
刪除 GhostEngine 惡意軟體的重要性
刪除 GhostEngine 惡意軟體對於防止您的系統被利用進行加密貨幣挖礦至關重要。未經同意的加密挖礦可能會顯著降低您的電腦速度,並導致能源消耗和成本增加。
保護您的訊息
確保刪除此惡意軟體有助於保護您的系統資訊免遭惡意行為者分享,從而保護您的個人和專業資料。
