GhostEngine onemogućava EDR softver

Jedna od prijetnji koja je nedavno privukla pažnju je GhostEngine, kripto rudar koji koristi skup alata za upad pod nazivom HiddenShovel da onemogući softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) na uređajima žrtava. U nastavku će biti riječi o otkriću sigurnosnih istraživača kompanije Elastic Security Labs i kompanije Antiy Labs o GhostEngine zlonamjernom softveru, njegovim mogućnostima i kako se organizacije mogu odbraniti od njega.

GhostEngine

GhostEngine onemogućava EDR softver; Source: Bing Image Creator

GHOSTENGINE

GhostEngine, novootkrivena kampanja kripto rudarenja, izazivala je zabrinutost u  zajednici sajber bezbednosti zbog svoje jedinstvene metodologije za izbjegavanje otkrivanja od strane EDR sistema. Ovaj zlonamjerni softver koristi ranjive upravljačke softvere (eng. drivers) da bi onemogućio poznata bezbjednosna rješenja, omogućavajući mu da obavlja svoje zlonamjerne aktivnosti bez da bude otkriven.

 

“Prvi cilj zlonamjernog softvera GhostEngine je da onesposobi bezbjednosna EDR rješenja i onemogući specifične evidencije Windows događaja, kao što su bezbjednosni i sistemski dnevnik, koji bilježe kreiranje procesa i registraciju usluge.”

– Elastic Security Labs –

 

GhostEngine kampanju karakteriše korištenje dva ranjiva upravljačka softvera jezgra sistema aswArPots.sys (Avast upravljački softver) i IObitUnlockers.sys (Iobit upravljački softver). Da bi onemogućio EDR softver, GhostEngine koristi aswArPots.sys za okončanje specifičnih procesa u vezi sa EDR rješenjima, a IObitUnlockers.sys briše povezane izvršne datoteke ovih bezbjednosnih alata. Na taj način, zlonamjerni softver osigurava da može da radi neotkriven u zaraženom sistemu, efikasno neutrališući odbranu koju postavljaju organizacije da bi zaštitile svoje mreže od takvih prijetnji.

Primarni zlonamjerni teret ove kampanje je zlonamjerni softver za kripto rudarenje pod nazivom GhostEngine. Glavni cilj ovog zlonamjernog softvera je da rudari Monero (XMR) novčiće iskorišćavanjem računarske moći kompromitovanih uređaja bez znanja ili saglasnosti korisnika. Proces rudarenja troši značajne sistemske resurse, što može dovesti do primjetne degradacije performansi sistema, pa čak i pada sistema u nekim slučajevima.

Funkcionisanje

Početna infekcija počinje izvršavanjem PE datoteke pod nazivom Tiworker.exe, koja se maskira kao legitimna Windows sistemska datoteka. Nakon izvršenja, ova datoteka preuzima i izvršava PowerShell skriptu koja orkestrira cio tok upada. Ova skripta zatim preuzima JSON datoteku pod nazivom config.txt koja sadrži hešove prethodno preuzetih datoteka da bi provjerila da li postoje ažuriranja.

Jedan od primarnih modula koje primjenjuje GhostEngine je smartsscreen.exe, koji prvenstveno prekida aktivne procese EDR agenta pre instaliranja kripto rudara. Ovaj modul skenira i upoređuje sve pokrenute procese sa tvrdo kôdiranom listom poznatih EDR agenata. Ako se pronađe bilo kakva podudaranja, on koristi datoteku Avast Anti-Rootkit upravljački softver aswArPots.sys da bi prekinuo bezbjednosnog agenta pomoću njegovog ID procesa. Kada se bezbjednosni agenti ukinu, smartsscreen.exe se zatim koristi za brisanje njihovih binarnih datoteka pomoću drugog ranjivog drajvera, IObitUnlockers.sys. Ovo osigurava da u sistemu ne ostanu ostaci sigurnosnih agenata, omogućavajući GhostEngine kripto rudaru da radi nesmetano.

GhostEngine autori zlonamjernog softvera ugradili su brojne mehanizme za nepredviđene situacije i dupliranje u svoj skup alata za upad. Oni koriste ranjive drajvere da ukinu i izbrišu poznate EDR agente koji bi vjerovatno ometali operacije rudarenja, obezbeđujući visok nivo složenosti kako u fazi instalacije tako i u fazi trajanja napada.

Da bi održao postojanost unutar inficiranog uređaja, GhostEngine koristi DLL datoteku pod nazivom oci.dll koji se učitava od strane Windows servisa pod nazivom msdtc. Kada se pokrene, ova DLL datoteka preuzima najnoviju verziju GhostEngine zlonamjernog softvera kako bi osigurala da zlonamjerni softver ostane ažuriran i efikasan protiv potencijalnih bezbjednosnih protivmjera.

 

ZAKLJUČAK

GhostEngine je napredni set za upad koji koristi kripto rudarenje za stvaranje profita. On primjenjuje nekoliko modula za ukidanje EDR agenata koristeći ranjive drajvere i instaliranje kripto rudara na kompromitovane sisteme. Autori zlonamjernog softvera su ugradili brojne mehanizme za nepredviđene situacije, što ga čini značajnom prijetnjom za organizacije koje se oslanjaju na Windows sisteme.

Sama kampanja je uključivala neuobičajenu količinu sofisticiranosti i planiranja, što je čini značajnom prijetnjom za organizacije. Pored toga, upotreba više modula i ranjivih drajvera za ukidanje i brisanje sigurnosnih agenata naglašava važnost održavanja ažuriranog softvera i implementacije robusnih mjera zaštite krajnjih tačaka. Da bi se smanjio rizik od ovakvih napada, od ključne je važnosti za organizacije da održavaju ažuriran softver i primjenjuju robusne mjere zaštite krajnjih tačaka i usvoje višeslojni bezbjednosni pristup koji uključuje praćenje sumnjivih aktivnosti i blokiranje stvaranja poznatih ranjivih datoteka.

 

ZAŠTITA

Kako bi korisnici i organizacije efikasno zaštitili svoje sisteme od GhostEngine zlonamjernog softvera, neophodno je primijeniti višeslojni bezbjednosni pristup koji pokriva različite aspekte njegovog vektora napada. U nastavku slijedi nekoliko mjera koje se mogu preduzeti u cilju zaštite od  GhostEngine zlonamjernog softvera:

  1. GhostEngine pokreće svoje napade izvršavanjem PowerShell skripti, pa je zbog toga potrebno nadgledati sisteme za bilo kakve sumnjive PowerShell aktivnosti. Korisnici mogu koristiti bezbjednosna rješenja nezavisnih proizvođača kako bi otkrili i blokirali zlonamjerne PowerShell komande. Pored toga, konfiguracija Group Policy podešavanja može pomoći u ograničavanju upotrebe PowerShell skripti ako je potrebno,
  2. Ovaj zlonamjeni izvršava svoj korisni teret iz neobičnih direktorijuma pa je potrebno osigurati da su svi direktorijumi pravilno obezbijeđeni i ograničeni za neovlašteni pristup. Korištenje alate za praćenje integriteta datoteka može pomoći u otkrivanju neovlaštenih promjena u kritičnim sistemskim datotekama ili direktorijumima. Uz to praktikovati redovno ažuriranje antivirusnih definicija i konfigurisati antivirusni softver da skenira rjeđe korišćene oblasti sistema datoteka,
  3. GhostEngine pokušava da podigne privilegije kako bi dobio više nivoe pristupa na kompromitovanim sistemima pa je neophodno primjenjivati jake smjernice za lozinke za korisničke naloge i primijeniti autentifikaciju u više koraka gdje je to moguće. Redovno pregledati i ažurirati sistemske dozvole, obezbeđujući da se one dodjeljuju samo ovlaštenim korisnicima ili uslugama. Sprovesti mjere kontrole aplikacija kako bi se ograničila izvršavanja neodobrenog softvera,
  4. Ovaj zlonamjerni softver za svoje napade koristi ranjive drajvere kao što su aswArPots.sys i aswArPots.sys, pa je stoga potrebno blokirati njihovo kreiranje na korisničkim sistemima pomoću Group Policy podešavanja ili bezbjednosnih alata treće strane. Uz to, redovno ažurirati sve instalirane upravljačke softvere kako bi se osiguralo da su ažurirani sa najnovijim zakrpama i bezbjednosnim ispravkama. Primijeniti smjernice za digitalno potpisivanje upravljačkog softvera kako bi se dozvolilo samo pouzdanim upravjačkim softverima da rade na korisničkim sistemima,
  5. GhostEngine preuzima i pokreće softver za rudarenje kriptovaluta nakon što dobije pristup sistemu, pa je za otkrivanje ove aktivnosti potrebno pratiti mrežni saobraćaj u potrazi za indikatorima rudarenja kriptovaluta ili neuobičajenih izlaznih veza ka poznatim rudarskim serverima. Koristiti sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) i zaštitne zidove kako bi se blokirao takav saobraćaj,
  6. Bez obzira što GhostEngine ima potencijal da onemogućava EDR rješenja, ova rješenja renomiranih proizvođača mogu pomoći u otkrivanju, analizi i reagovanju na napredne prijetnje kao što je GhostEngine u realnom vremenu. Ovi alati pružaju duboku vidljivost sistemskih aktivnosti, omogućavajući korisnicima da brzo identifikuju i obuzdaju sve potencijalne napade pre nego što izazovu značajnu štetu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.