如何在加密劫持中禁用 EDR？安全人员发现了多个破坏安全机制的方法

网络安全研究人员发现了一种新的加密劫持活动，该活动利用易受攻击的驱动程序来禁用已知的安全解决方案 (EDR) 并阻止检测，即所谓的自带易受攻击的驱动程序 ( BYOVD ) 攻击。

Elastic Security Labs 正在追踪名为 REF4578 且主要有效负载为 GHOSTENGINE 的活动。中国网络安全公司安天实验室此前的研究将该活动代号为“HIDDEN SHOVEL”。

Elastic 研究人员 Salim Bitam、Samir Bousseaden、Terrance DeJesus 和 Andrew Pease表示：“GHOSTENGINE 利用易受攻击的驱动程序来终止和删除已知的 EDR 代理，这些代理可能会干扰已部署的知名硬币挖矿程序。”

“为了确保 XMRig 矿工的安装和持久性，该活动的复杂性非常高。”

这一切都从一个可执行文件（“Tiworker.exe”）开始，该文件用于运行 PowerShell 脚本，该脚本检索混淆的 PowerShell 脚本，该脚本伪装成 PNG 图像（“get.png”）以从命令获取其他有效负载 -和控制（C2）服务器。

这些模块——aswArPot.sys、IObitUnlockers.sys、curl.exe、smartsscreen.exe、oci.dll、backup.png和kill.png——通过HTTP从配置的C2下载后在受感染的主机上启动服务器或备份服务器，以防域不可用。它还包含基于 FTP 的回退机制。

此外，该恶意软件还试图禁用 Microsoft Defender Antivirus，清除多个 Windows 事件日志通道，并确保 C: 卷至少有 10 MB 的可用空间来下载文件，然后将这些文件存放在 C:WindowsFonts 文件夹中。

研究人员表示：“如果没有，它会尝试从系统中删除大文件，然后寻找另一个具有足够空间的合适卷并在 $RECYCLE.BINFonts 下创建一个文件夹。”

PowerShell脚本还被设计为在系统上创建三个计划任务，每20分钟运行一次恶意DLL，每小时通过批处理脚本启动自身，并每40分钟执行一次smartsscreen.exe。

攻击链的核心负载是smartsscreen.exe（又名GHOSTENGINE），其主要目的是使用易受攻击的Avast驱动程序（“aswArPot.sys”）停用安全进程，完成初始感染，并执行矿工。

然后，通过 IObit 的另一个易受攻击的驱动程序（“iobitunlockers.sys”）删除安全代理二进制文件，随后从 C2 服务器下载 XMRig 客户端挖掘程序并执行。

DLL 文件用于确保恶意软件的持久性，并通过获取 get.png 脚本并执行它来从 C2 服务器下载更新，而“backup.png”Powershell 脚本则充当后门，以便在系统上启用远程命令执行。

在被解释为冗余措施的情况下，PowerShell 脚本“kill.png”具有与 smartsscreen.exe 类似的功能，通过将可执行文件注入并加载到内存中来删除安全代理二进制文件。

Uptycs 威胁研究团队发现自 2024 年 1 月以来正在进行的大规模操作，该操作利用 Log4j 日志记录实用程序中的已知缺陷（例如CVE-2021-44228）将 XMRig 挖矿程序传送到目标主机上。

安全研究员 Shilpesh Trivedi表示：“在攻击受害机器后，它会开始与 URL 联系以获取用于部署 XMRig 挖矿程序的 shell 脚本，或者在某些情况下，它会传播 Mirai 或 Gafgyt 恶意软件。”

BYOVD 和其他破坏安全机制的方法#

BYOVD 是一种越来越流行的技术，其中威胁行为者带来已知易受攻击的签名驱动程序，将其加载到内核中，并利用它执行特权操作，通常目的是解除安全进程并允许它们秘密运行。

以色列网络安全公司 Cymulate指出：“驱动程序在 Ring 0 上运行，这是操作系统的最高特权级别。” “这使他们能够直接访问关键内存、CPU、I/O 操作和其他基本资源。就 BYOVD 而言，攻击旨在加载易受攻击的驱动程序以进一步实施攻击。”

尽管微软从 Windows 11 22H2 开始默认部署了漏洞驱动程序阻止列表，但该列表每年仅更新一到两次，需要用户定期手动更新以获得最佳保护。

此次攻击的具体规模尚不清楚，目前尚不清楚幕后黑手是谁。然而，这起看似直接的非法加密货币挖矿攻击背后却隐藏着不同寻常的复杂性，值得关注。

此次披露还发现了一种名为EDRaser的新技术，该技术利用 Microsoft Defender（CVE-2023-24860和CVE-2023-36010）中的漏洞远程删除访问日志、Windows 事件日志、数据库和其他文件。

SafeBreach 表示，该问题也影响到了卡巴斯基，其根源在于这两个安全程序都使用字节签名来检测恶意软件，因此威胁行为者可以将恶意软件签名植入合法文件中，并欺骗工具，让它们认为它们是恶意软件。

这家网络安全公司单独发现了一种创造性的漏洞，可以绕过 Palo Alto Networks Cortex XDR 提供的安全保护，并将其武器化以部署反向 shell 和勒索软件，从而有效地将其重新利用为流氓攻击工具。

从本质上讲，绕过可以通过 BYOVD 攻击加载易受攻击的驱动程序（“ rtcore64.sys ”）并篡改解决方案，以防止合法管理员删除该软件并最终将恶意代码插入其进程之一，授予威胁行为者高权限，同时保持不被发现和持久性。

安全研究员什穆尔·科恩上个月表示：“安全产品检测过程背后的逻辑应该受到严密保护。” “通过让攻击者通过解决方案的内容文件访问这种敏感的检测逻辑，他们更有可能设计出绕过它的方法。”

另一种新颖的方法是HookChain，巴西安全研究员Helvio Carvalho Junior认为，该方法涉及结合IAT挂钩、动态系统服务号（SSN）解析和间接系统调用来逃避安全软件在用户模式下实现的监视和控制机制，特别是在NTDLL.dll 库中。

Carvalho Junior在一篇新发表的论文中表示：“HookChain 能够重定向所有主要 Windows 子系统的执行流，例如 kernel32.dll、kernelbase.dll 和 user32.dll。”

“这意味着，一旦部署，HookChain 可确保应用程序上下文中的所有 API 调用都透明地进行，完全避免被 [端点检测和响应软件] 检测到。”

原文始发于微信公众号（安全客）：如何在加密劫持中禁用 EDR？安全人员发现了多个破坏安全机制的方法