{"id":6763,"date":"2024-06-14T17:11:03","date_gmt":"2024-06-14T15:11:03","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6763"},"modified":"2024-06-14T17:11:03","modified_gmt":"2024-06-14T15:11:03","slug":"ghostengine-onemogucava-edr-softver","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/06\/14\/ghostengine-onemogucava-edr-softver\/","title":{"rendered":"GhostEngine onemogu\u0107ava EDR softver"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Jedna od prijetnji koja je nedavno privukla pa\u017enju je <em>GhostEngine<\/em>, kripto rudar koji koristi skup alata za upad pod nazivom <em>HiddenShovel<\/em> da onemogu\u0107i softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) na ure\u0111ajima \u017ertava. U nastavku \u0107e biti rije\u010di o otkri\u0107u sigurnosnih istra\u017eiva\u010da kompanije <a href=\"https:\/\/www.elastic.co\/security-labs\/invisible-miners-unveiling-ghostengine\" target=\"_blank\" rel=\"noopener\"><em>Elastic Security Labs<\/em><\/a> i kompanije <a href=\"https:\/\/www.antiy.com\/response\/HideShoveling.html\" target=\"_blank\" rel=\"noopener\"><em>Antiy Labs<\/em><\/a> o <em>GhostEngine <\/em><a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernom softveru<\/a>, njegovim mogu\u0107nostima i kako se organizacije mogu odbraniti od njega.<\/span><\/p>\n<div id=\"attachment_6764\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6764\" class=\"size-full wp-image-6764\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine.jpg\" alt=\"GhostEngine\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/GhostEngine-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6764\" class=\"wp-caption-text\"><em>GhostEngine onemogu\u0107ava EDR softver; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/14\/ghostengine-onemogucava-edr-softver\/#GHOSTENGINE\" >GHOSTENGINE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/14\/ghostengine-onemogucava-edr-softver\/#Funkcionisanje\" >Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/14\/ghostengine-onemogucava-edr-softver\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/14\/ghostengine-onemogucava-edr-softver\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"GHOSTENGINE\"><\/span><strong><span style=\"font-size: 14pt;\"><em>GHOSTENGINE<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>GhostEngine<\/em>, novootkrivena kampanja kripto rudarenja, izazivala je zabrinutost u\u00a0 zajednici <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbednosti<\/a> zbog svoje jedinstvene metodologije za izbjegavanje otkrivanja od strane <em>EDR<\/em> sistema. Ovaj zlonamjerni softver koristi ranjive upravlja\u010dke softvere (eng. <em>drivers<\/em>) da bi onemogu\u0107io poznata bezbjednosna rje\u0161enja, omogu\u0107avaju\u0107i mu da obavlja svoje zlonamjerne aktivnosti bez da bude otkriven.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cPrvi cilj zlonamjernog softvera GhostEngine je da onesposobi bezbjednosna EDR rje\u0161enja i onemogu\u0107i specifi\u010dne evidencije Windows doga\u0111aja, kao \u0161to su bezbjednosni i sistemski dnevnik, koji bilje\u017ee kreiranje procesa i registraciju usluge.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Elastic Security Labs &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>GhostEngine<\/em> kampanju karakteri\u0161e kori\u0161tenje dva ranjiva upravlja\u010dka softvera jezgra sistema <em>aswArPots.sys<\/em> (<em>Avast<\/em> upravlja\u010dki softver) i <em>IObitUnlockers.sys<\/em> (<em>Iobit<\/em> upravlja\u010dki softver). Da bi onemogu\u0107io <em>EDR<\/em> softver, <em>GhostEngine<\/em> koristi <em>aswArPots.sys z<\/em>a okon\u010danje specifi\u010dnih procesa u vezi sa <em>EDR<\/em> rje\u0161enjima<em>,<\/em> a <em>IObitUnlockers.sys<\/em> bri\u0161e povezane izvr\u0161ne datoteke ovih bezbjednosnih alata. Na taj na\u010din, zlonamjerni softver osigurava da mo\u017ee da radi neotkriven u zara\u017eenom sistemu, efikasno neutrali\u0161u\u0107i odbranu koju postavljaju organizacije da bi za\u0161titile svoje mre\u017ee od takvih prijetnji.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primarni <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni teret<\/a> ove kampanje je zlonamjerni softver za kripto rudarenje pod nazivom <em>GhostEngine<\/em>. Glavni cilj ovog zlonamjernog softvera je da rudari <em>Monero<\/em> (<em>XMR<\/em>) nov\u010di\u0107e iskori\u0161\u0107avanjem ra\u010dunarske mo\u0107i kompromitovanih ure\u0111aja bez znanja ili saglasnosti korisnika. Proces rudarenja tro\u0161i zna\u010dajne sistemske resurse, \u0161to mo\u017ee dovesti do primjetne degradacije performansi sistema, pa \u010dak i pada sistema u nekim slu\u010dajevima.<\/span><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionisanje<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Po\u010detna infekcija po\u010dinje izvr\u0161avanjem <em>PE<\/em> datoteke pod nazivom <em>Tiworker.exe<\/em>, koja se maskira kao legitimna <em>Windows<\/em> sistemska datoteka. Nakon izvr\u0161enja, ova datoteka preuzima i izvr\u0161ava <em>PowerShell<\/em> skriptu koja orkestrira cio tok upada. Ova skripta zatim preuzima <em>JSON<\/em> datoteku pod nazivom <em>config.txt<\/em> koja sadr\u017ei he\u0161ove prethodno preuzetih datoteka da bi provjerila da li postoje a\u017euriranja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan od primarnih modula koje primjenjuje <em>GhostEngine<\/em> je <em>smartsscreen.exe<\/em>, koji prvenstveno prekida aktivne procese <em>EDR<\/em> agenta pre instaliranja kripto rudara. Ovaj modul skenira i upore\u0111uje sve pokrenute procese sa tvrdo k\u00f4diranom listom poznatih <em>EDR<\/em> agenata. Ako se prona\u0111e bilo kakva podudaranja, on koristi datoteku <em>Avast<\/em> <em>Anti-Rootkit<\/em> upravlja\u010dki softver <em>aswArPots.sys<\/em> da bi prekinuo bezbjednosnog agenta pomo\u0107u njegovog <em>ID <\/em>procesa. Kada se bezbjednosni agenti ukinu, <em>smartsscreen.exe<\/em> se zatim koristi za brisanje njihovih binarnih datoteka pomo\u0107u drugog ranjivog drajvera, <em>IObitUnlockers.sys<\/em>. Ovo osigurava da u sistemu ne ostanu ostaci sigurnosnih agenata, omogu\u0107avaju\u0107i <em>GhostEngine <\/em>kripto rudaru da radi nesmetano.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>GhostEngine <\/em>autori zlonamjernog softvera ugradili su brojne mehanizme za nepredvi\u0111ene situacije i dupliranje u svoj skup alata za upad. Oni koriste ranjive drajvere da ukinu i izbri\u0161u poznate <em>EDR<\/em> agente koji bi vjerovatno ometali operacije rudarenja, obezbe\u0111uju\u0107i visok nivo slo\u017eenosti kako u fazi instalacije tako i u fazi trajanja napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Da bi odr\u017eao postojanost unutar inficiranog ure\u0111aja, <em>GhostEngine<\/em> koristi <em>DLL<\/em> datoteku pod nazivom <em>oci.dll<\/em> koji se u\u010ditava od strane <em>Windows<\/em> servisa pod nazivom <em>msdtc<\/em>. Kada se pokrene, ova <em>DLL<\/em> datoteka preuzima najnoviju verziju <em>GhostEngine<\/em> zlonamjernog softvera kako bi osigurala da zlonamjerni softver ostane a\u017euriran i efikasan protiv potencijalnih bezbjednosnih protivmjera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>GhostEngine<\/em> je napredni set za upad koji koristi kripto rudarenje za stvaranje profita. On primjenjuje nekoliko modula za ukidanje <em>EDR<\/em> agenata koriste\u0107i ranjive drajvere i instaliranje kripto rudara na kompromitovane sisteme. Autori zlonamjernog softvera su ugradili brojne mehanizme za nepredvi\u0111ene situacije, \u0161to ga \u010dini zna\u010dajnom prijetnjom za organizacije koje se oslanjaju na <em>Windows<\/em> sisteme.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sama kampanja je uklju\u010divala neuobi\u010dajenu koli\u010dinu sofisticiranosti i planiranja, \u0161to je \u010dini zna\u010dajnom prijetnjom za organizacije. Pored toga, upotreba vi\u0161e modula i ranjivih drajvera za ukidanje i brisanje sigurnosnih agenata nagla\u0161ava va\u017enost odr\u017eavanja a\u017euriranog softvera i implementacije robusnih mjera za\u0161tite krajnjih ta\u010daka. Da bi se smanjio rizik od ovakvih napada, od klju\u010dne je va\u017enosti za organizacije da odr\u017eavaju a\u017euriran softver i primjenjuju robusne mjere za\u0161tite krajnjih ta\u010daka i usvoje vi\u0161eslojni bezbjednosni pristup koji uklju\u010duje pra\u0107enje sumnjivih aktivnosti i blokiranje stvaranja poznatih ranjivih datoteka.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi korisnici i organizacije efikasno za\u0161titili svoje sisteme od <em>GhostEngine<\/em> zlonamjernog softvera, neophodno je primijeniti vi\u0161eslojni bezbjednosni pristup koji pokriva razli\u010dite aspekte njegovog vektora napada. U nastavku slijedi nekoliko mjera koje se mogu preduzeti u cilju za\u0161tite od\u00a0 <em>GhostEngine<\/em> zlonamjernog softvera:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\"><em>GhostEngine<\/em> pokre\u0107e svoje napade izvr\u0161avanjem <em>PowerShell<\/em> skripti, pa je zbog toga potrebno nadgledati sisteme za bilo kakve sumnjive <em>PowerShell<\/em> aktivnosti. Korisnici mogu koristiti bezbjednosna rje\u0161enja nezavisnih proizvo\u0111a\u010da kako bi otkrili i blokirali zlonamjerne <em>PowerShell<\/em> komande. Pored toga, konfiguracija <em>Group Policy<\/em> pode\u0161avanja mo\u017ee pomo\u0107i u ograni\u010davanju upotrebe <em>PowerShell<\/em> skripti ako je potrebno,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ovaj zlonamjeni izvr\u0161ava svoj korisni teret iz neobi\u010dnih direktorijuma pa je potrebno osigurati da su svi direktorijumi pravilno obezbije\u0111eni i ograni\u010deni za neovla\u0161teni pristup. Kori\u0161tenje alate za pra\u0107enje integriteta datoteka mo\u017ee pomo\u0107i u otkrivanju neovla\u0161tenih promjena u kriti\u010dnim sistemskim datotekama ili direktorijumima. Uz to praktikovati redovno a\u017euriranje antivirusnih definicija i konfigurisati antivirusni softver da skenira rje\u0111e kori\u0161\u0107ene oblasti sistema datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>GhostEngine<\/em> poku\u0161ava da podigne privilegije kako bi dobio vi\u0161e nivoe pristupa na kompromitovanim sistemima pa je neophodno primjenjivati jake smjernice za <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> za korisni\u010dke naloge i primijeniti autentifikaciju u vi\u0161e koraka gdje je to mogu\u0107e. Redovno pregledati i a\u017eurirati sistemske dozvole, obezbe\u0111uju\u0107i da se one dodjeljuju samo ovla\u0161tenim korisnicima ili uslugama. Sprovesti mjere kontrole aplikacija kako bi se ograni\u010dila izvr\u0161avanja neodobrenog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver za svoje napade koristi ranjive drajvere kao \u0161to su <em>aswArPots.sys<\/em> i <em>aswArPots.sys<\/em>, pa je stoga potrebno blokirati njihovo kreiranje na korisni\u010dkim sistemima pomo\u0107u <em>Group Policy<\/em> pode\u0161avanja ili bezbjednosnih alata tre\u0107e strane. Uz to, redovno a\u017eurirati sve instalirane upravlja\u010dke softvere kako bi se osiguralo da su a\u017eurirani sa najnovijim zakrpama i bezbjednosnim ispravkama. Primijeniti smjernice za digitalno potpisivanje upravlja\u010dkog softvera kako bi se dozvolilo samo pouzdanim upravja\u010dkim softverima da rade na korisni\u010dkim sistemima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>GhostEngine<\/em> preuzima i pokre\u0107e softver za rudarenje kriptovaluta nakon \u0161to dobije pristup sistemu, pa je za otkrivanje ove aktivnosti potrebno pratiti mre\u017eni saobra\u0107aj u potrazi za indikatorima rudarenja kriptovaluta ili neuobi\u010dajenih izlaznih veza ka poznatim rudarskim serverima. Koristiti sisteme za otkrivanje upada (eng. <em>intrusion detection systems &#8211; IDS<\/em>) i za\u0161titne zidove kako bi se blokirao takav saobra\u0107aj,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Bez obzira \u0161to <em>GhostEngine<\/em> ima potencijal da onemogu\u0107ava <em>EDR<\/em> rje\u0161enja, ova rje\u0161enja renomiranih proizvo\u0111a\u010da mogu pomo\u0107i u otkrivanju, analizi i reagovanju na napredne prijetnje kao \u0161to je <em>GhostEngine<\/em> u realnom vremenu. Ovi alati pru\u017eaju duboku vidljivost sistemskih aktivnosti, omogu\u0107avaju\u0107i korisnicima da brzo identifikuju i obuzdaju sve potencijalne napade pre nego \u0161to izazovu zna\u010dajnu \u0161tetu.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Jedna od prijetnji koja je nedavno privukla pa\u017enju je GhostEngine, kripto rudar koji koristi skup alata za upad pod nazivom HiddenShovel da onemogu\u0107i softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6764,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1515,1512,1517,1511,1520,1516,1521,1519,1513,1514,1469,1518],"class_list":["post-6763","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-avast-software","tag-cryptomining-campaign","tag-edr-security","tag-ghostengine-malware","tag-hiddenshovel","tag-iobit-software","tag-powershell-scripts","tag-sophisticated-attack","tag-terminating-processes","tag-vulnerable-drivers","tag-windows-malware","tag-xmrig-miner"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6763","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6763"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6763\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6764"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6763"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6763"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6763"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}