代号为“REF4578”的恶意加密货币挖矿活动被发现部署了一个名为 GhostEngine 的恶意负载，该负载使用易受攻击的驱动程序关闭安全产品并部署 XMRig 矿工。

Elastic Security Labs 和 Antiy 的研究人员在报告中特别强调了这些加密货币挖矿攻击的异常复杂性，并共享了检测规则以帮助防御者识别和阻止它们。然而，两份报告都没有将该活动归咎于已知的威胁分子，也没有分享有关目标/受害者的详细信息，因此该活动的起源和范围仍然未知。

GhostEngine

虽然尚不清楚服务器最初是如何被破坏的，但威胁分子的攻击从执行名为“Tiworker.exe”的文件开始就伪装成合法的 Windows 文件。

此可执行文件是 GhostEngine 的初始暂存有效负载，GhostEngine 是一个 PowerShell 脚本，可下载各种模块以在受感染的设备上执行不同的行为。当 Tiworker.exe 执行时，它会从攻击者的命令和控制 (C2) 服务器下载名为“get.png”的 PowerShell 脚本，该服务器充当 GhostEngine 的主要加载程序。

此 PowerShell 脚本下载其他模块及其配置、禁用 Windows Defender、启用远程服务并清除各种 Windows 事件日志。

接下来，get.png 验证系统是否至少有 10MB 的可用空间（这是进一步感染所必需的），并创建名为“OneDriveCloudSync”、“DefaultBrowserUpdate”和“OneDriveCloudBackup”的计划任务以实现持久性。

为持久性添加计划任务

PowerShell 脚本现在将下载并启动名为 smartsscreen.exe 的可执行文件，该可执行文件充当 GhostEngine 的主要负载。

该恶意软件负责终止和删除 EDR 软件，并下载和启动 XMRig 以挖掘加密货币。为了终止 EDR 软件，GhostEngine 加载两个易受攻击的内核驱动程序：

aswArPots.sys（Avast 驱动程序），用于终止 EDR 进程。

IObitUnlockers.sys（Iobit 驱动程序），用于删除关联的可执行文件。EDR 终止程序所针对的进程列表如下所示：

kill.png 和 smartscreen.exe 使用的硬编码 EDR 列表

为了实现持久性，名为“msdtc”的 Windows 服务会加载名为“oci.dll”的 DLL。启动后，此 DLL 将下载“get.png”的新副本，以在机器上安装最新版本的 GhostEngine。

虽然 Elastic 没有从他们检查的单个付款 ID 中看到令人印象深刻的数字，但每个受害者可能都有一个独特的钱包，因此总体财务收益可能非常可观。

完整的GhostEngine攻击链

防御 GhostEngine

Elastic 研究人员建议防御者留意可疑的 PowerShell 执行、异常进程活动以及指向加密矿池的网络流量。

此外，在任何环境中，部署易受攻击的驱动程序和创建相关的内核模式服务都应被视为危险信号。人们可以采取拒绝从易受攻击的驱动程序（如 aswArPots.sys 和 IobitUnlockers.sys）创建文件。

参考及来源：https://www.bleepingcomputer.com/news/security/ghostengine-mining-attacks-kill-edr-security-using-vulnerable-drivers/