网络安全研究人员发现了一种新的加密劫持活动,该活动利用易受攻击的驱动程序来禁用已知的安全解决方案 (EDR) 并阻止检测,这就是所谓的自带易受攻击的驱动程序 (BYOVD) 攻击。
Elastic 研究人员表示:“GHOSTENGINE 利用易受攻击的驱动程序来终止和删除已知的 EDR 代理,这些代理可能会干扰已部署的知名硬币矿工。
这一切都从一个可执行文件 (“Tiworker.exe”) 开始,该文件用于运行 PowerShell 脚本,该脚本检索伪装成 PNG 图像 (“get.png”) 的混淆 PowerShell 脚本,以从命令和控制 (C2) 服务器获取其他有效负载。
这些模块在通过 HTTP 从配置的 C2 服务器或备份服务器下载后,会在受感染的主机上启动,以防域不可用。它还包含基于 FTP 的回退机制。
此外,恶意软件尝试禁用 Microsoft Defender 防病毒,清除多个 Windows 事件日志通道,并确保 C: 卷至少有 10 MB 的可用空间来下载文件,然后将文件隐藏在 C:WindowsFonts 文件夹中。
PowerShell 脚本还设计用于在系统上创建三个计划任务,以每 20 分钟运行一次恶意 DLL,每小时通过批处理脚本启动一次,每 40 分钟执行一次smartsscreen.exe。
攻击链的核心有效载荷是 smartsscreen.exe(又名 GHOSTENGINE),其主要目的是使用易受攻击的 Avast 驱动程序(“aswArPot.sys”)停用安全进程,完成初始感染,并执行矿工。
然后,通过IObit(“iobitunlockers.sys”)中的另一个易受攻击的驱动程序删除安全代理二进制文件,然后从C2服务器下载并执行XMRig客户端挖掘程序。
DLL 文件用于确保恶意软件的持久性,并通过获取get.png脚本并执行它从 C2 服务器下载更新,而“backup.png”Powershell 脚本充当后门,以在系统上启用远程命令执行。
在被解释为冗余措施的情况下,PowerShell 脚本“kill.png”具有与smartsscreen.exe类似的功能,通过将可执行文件注入并加载到内存中来删除安全代理二进制文件。
大多数受影响的服务器位于中国,其次是香港、荷兰、日本、美国、德国、南非和瑞典。
BYOVD 和其他破坏安全机制的方法
BYOVD 是一种越来越流行的技术,其中威胁行为者将已知易受攻击的签名驱动程序加载到内核中,并利用它来执行特权操作,通常旨在解除安全进程并允许它们秘密运行。
“驱动程序在环 0 上运行,这是操作系统的最高特权级别,”以色列网络安全公司 Cymulate指出。“这使他们能够直接访问关键内存、CPU、I/O 操作和其他基本资源。在 BYOVD 的情况下,攻击旨在加载易受攻击的驱动程序以进一步攻击。
尽管 Microsoft 从 Windows 11 22H2 开始默认部署了易受攻击的驱动程序阻止列表,但该列表每年仅更新一到两次,因此用户需要定期手动更新以获得最佳保护
SafeBreach表示,这个问题也影响了卡巴斯基,因为这两个安全程序都使用字节签名来检测恶意软件,从而允许威胁行为者将恶意软件签名植入合法文件中,并欺骗工具认为它们是恶意的。
这家网络安全公司单独发现了一个创造性的漏洞,以绕过 Palo Alto Networks Cortex XDR 提供的安全保护,并将其武器化以部署反向外壳和勒索软件,有效地将其重新利用为流氓攻击工具。
从本质上讲,绕过可以通过 BYOVD 攻击加载易受攻击的驱动程序 (“rtcore64.sys”) 并篡改解决方案,以防止合法管理员删除软件并最终将恶意代码插入其进程之一,授予威胁参与者高权限,同时保持未被发现和持久性。
另一种新颖的方法是 HookChain,正如巴西安全研究员 Helvio Carvalho Junior 所说,它涉及结合 IAT 挂钩、动态系统服务编号 (SSN) 解析和间接系统调用,以逃避安全软件在用户模式下实现的监视和控制机制,尤其是在 NTDLL.dll 库中。
“HookChain能够重定向所有主要Windows子系统的执行流,例如kernel32.dll,kernelbase.dll和user32.dll,”Carvalho Junior在一篇新发表的论文中说。
“这意味着,一旦部署,HookChain将确保应用程序上下文中的所有API调用都是透明的,完全避免了[端点检测和响应软件]的检测。”
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):利用易受攻击的驱动程序在加密劫持攻击中禁用 EDR
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论