GHOSTENGINE explora drivers vulneráveis em ataque de criptomoeda.
22 de Maio de 2024

Pesquisadores de cibersegurança descobriram uma nova campanha de cryptojacking que emprega drivers vulneráveis ​​para desabilitar soluções de segurança conhecidas (EDRs) e evitar detecção em um ataque conhecido como Bring Your Own Vulnerable Driver (BYOVD).
O Elastic Security Labs está acompanhando a campanha sob o nome REF4578 e o payload principal como GHOSTENGINE.

Pesquisas anteriores da firma chinesa de cibersegurança Antiy Labs codificaram a atividade como HIDDEN SHOVEL.

"GHOSTENGINE explora drivers vulneráveis para terminar e deletar agentes EDR conhecidos que provavelmente interfeririam com o minerador de criptomoedas conhecido e implantado", disseram os pesquisadores da Elastic, Salim Bitam, Samir Bousseaden, Terrance DeJesus e Andrew Pease.

Esta campanha envolveu uma quantidade incomum de complexidade para garantir tanto a instalação quanto a persistência do minerador XMRig.

Tudo começa com um arquivo executável ("Tiworker.exe"), que é usado para rodar um script PowerShell que recupera um script PowerShell ofuscado que se disfarça como uma imagem PNG ("get.png") para buscar payloads adicionais de um servidor de comando e controle (C2).

Estes módulos -- aswArPot.sys, IObitUnlockers.sys, curl.exe, smartsscreen.exe, oci.dll, backup.png e kill.png -- são lançados no host infectado após serem baixados via HTTP do servidor C2 configurado ou de um servidor de backup caso os domínios estejam indisponíveis.

Ele também incorpora um mecanismo de fallback baseado em FTP.
Além disso, o malware tenta desabilitar o Microsoft Defender Antivírus, limpar vários canais de logs de eventos do Windows e garantir que o volume C:\ tenha pelo menos 10 MB de espaço livre para baixar arquivos, que são então armazenados na pasta C:\Windows\Fonts.

"Se não, tentará deletar arquivos grandes do sistema antes de procurar outro volume adequado com espaço suficiente e criar uma pasta sob $RECYCLE.BIN\Fonts", disseram os pesquisadores.

O script PowerShell também é projetado para criar três tarefas agendadas no sistema para rodar uma DLL maliciosa a cada 20 minutos, lançar-se por meio de um script batch a cada hora e executar smartsscreen.exe a cada 40 minutos.

O payload principal da cadeia de ataque é smartsscreen.exe (conhecido como GHOSTENGINE), cujo objetivo principal é desativar processos de segurança usando o driver vulnerável da Avast ("aswArPot.sys"), completar a infecção inicial e executar o minerador.

O binário do agente de segurança é então deletado por meio de outro driver vulnerável da IObit ("iobitunlockers.sys"), após o qual o programa de mineração XMRig é baixado do servidor C2 e executado.

O arquivo DLL é usado para garantir a persistência do malware e baixar atualizações dos servidores C2, buscando o script get.png e executando-o, enquanto o script PowerShell "backup.png" funciona como um backdoor para permitir a execução de comandos remotos no sistema.

O que foi interpretado como uma medida de redundância, o script PowerShell "kill.png" tem capacidades similares a smartsscreen.exe para deletar binários de agentes de segurança injetando e carregando um arquivo executável na memória.

O desenvolvimento ocorre enquanto a equipe de pesquisa de ameaças da Uptycs descobriu uma operação em larga escala e contínua desde janeiro de 2024 que explora falhas conhecidas na utilidade de log Log4j (por exemplo, CVE-2021-44228 ) para entregar um minerador XMRig nos hosts-alvo.

"Após comprometer uma máquina vítima, ela iniciou contato com uma URL para buscar um script shell para a implantação do minerador XMRig, ou, alternativamente, em instâncias selecionadas, disseminou os malwares Mirai ou Gafgyt", disse o pesquisador de segurança Shilpesh Trivedi.

A maioria dos servidores impactados está localizada na China, seguida por Hong Kong, Países Baixos, Japão, EUA, Alemanha, África do Sul e Suécia.

BYOVD e Outros Métodos para Subverter Mecanismos de Segurança.

BYOVD é uma técnica cada vez mais popular em que um ator de ameaça traz um driver assinado conhecido por ser vulnerável, carrega-o no kernel e o explora para realizar ações privilegiadas, muitas vezes com o objetivo de desarmar processos de segurança e permitir que eles operem de maneira furtiva.

"Drivers operam no ring 0, o nível mais privilegiado do sistema operacional", observa a firma israelense de cibersegurança Cymulate.

Isso lhes concede acesso direto à memória crítica, CPU, operações de I/O e outros recursos fundamentais.

No caso do BYOVD, o ataque é projetado para carregar um driver vulnerável para avançar o ataque.
Embora a Microsoft tenha implantado a Vulnerable Driver Blocklist por padrão a partir do Windows 11 22H2, a lista é atualizada apenas uma ou duas vezes por ano, necessitando que os usuários a atualizem manualmente de tempos em tempos para proteção otimizada.

O escopo exato da campanha permanece desconhecido e atualmente não está claro quem está por trás dela.

No entanto, a sofisticação incomum por trás do que parece ser um ataque direto de mineração de criptomoedas ilícita merece atenção.

A divulgação também segue a descoberta de uma técnica inovadora chamada EDRaser que tira proveito de falhas no Microsoft Defender ( CVE-2023-24860 e CVE-2023-36010 ) para deletar remotamente logs de acesso, logs de eventos do Windows, bancos de dados e outros arquivos.

O problema, que também afeta o Kaspersky, decorre do fato de ambos os programas de segurança usarem assinaturas de byte para detectar malware, permitindo assim que um ator de ameaça implante assinaturas de malware em arquivos legítimos e engane as ferramentas fazendo com que pensem que são maliciosos, disse a SafeBreach.

A empresa de cibersegurança também descobriu uma exploração criativa para contornar as proteções oferecidas pelo Palo Alto Networks Cortex XDR e usá-lo para implantar um shell reverso e ransomware, efetivamente reaproveitando-o em uma ferramenta ofensiva perniciosa.

Em sua essência, o bypass torna possível carregar um driver vulnerável ("rtcore64.sys") via um ataque BYOVD e manipular a solução para impedir que um administrador legítimo remova o software e, finalmente, inserir código malicioso em um de seus processos, concedendo ao ator de ameaça altos privilégios enquanto permanece não detectado e persistente.

"A lógica por trás dos processos de detecção de um produto de segurança deve ser cuidadosamente guardada", disse o pesquisador de segurança Shmuel Cohen no mês passado.

Ao dar aos atacantes acesso a essa lógica de detecção sensível por meio dos arquivos de conteúdo da solução, eles têm muito mais chances de conseguir engendrar uma maneira de contorná-la.

Outro método inovador é o HookChain, que, como o pesquisador de segurança brasileiro Helvio Carvalho Junior, envolve combinar IAT hooking, resolução de números de serviço do sistema dinâmico (SSN) e chamadas de sistema indiretas para escapar dos mecanismos de monitoramento e controle implementados por software de segurança no modo usuário, particularmente na biblioteca NTDLL.dll.

Uma vez implantado, HookChain garante que todas as chamadas de API dentro do contexto de uma aplicação sejam realizadas de maneira transparente, evitando completamente a detecção por [software Endpoint Detection and Response].

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...