网络安全研究人员发现了一种复杂的加密劫持活动，该活动利用易受攻击的驱动程序来禁用众所周知的安全解决方案，从而逃避检测。

这种允许攻击者通过利用签名驱动程序中已知的缺陷来执行特权操作的技术被称为自带易受攻击的驱动程序 (BYOVD) 攻击。

活动部署 GHOSTENGINE 有效负载
Elastic Security Labs 的研究人员发现了新的加密劫持活动，将其称为 REF4578。该活动使用 GHOSTENGINE 核心负载来停用安全工具，完成初始感染并执行加密挖掘程序。Antiy Labs 的研究人员也观察到了该活动，将其称为 HIDDEN SHOVEL。

经调查发现，该活动主要针对中国的服务器，香港、荷兰、日本、美国、德国、南非和瑞典也报告了重大影响。该活动的具体范围和幕后威胁者的身份仍不得而知。

攻击从执行名为“Tiworker.exe”的可执行文件开始，该文件伪装成合法的 Windows 文件。此可执行文件运行一个PowerShell脚本，该脚本从攻击者的命令和控制 (C2) 服务器检索名为“get.png”的模糊脚本。

然后，“get.png”脚本尝试执行多项操作，例如禁用 Microsoft Defender 防病毒软件、清除 Windows 系统/安全事件日志以及创建计划任务以持续保留。该脚本还在下载其他恶意模块之前检查至少 10MB 的存储空间，包括：

aswArPot.sys：一个易受攻击的 Avast 驱动程序，用于终止 EDR 进程。
IObitUnlockers.sys：一个存在漏洞的 IObit 驱动程序，用于删除安全代理二进制文件。
smartsscreen.exe：核心有效负载（GHOSTENGINE），负责停用安全进程并执行 XMRig 矿工。
oci.dll：用于持久化和更新恶意软件的DLL 。
backup.png：一个用作远程命令执行后门的 PowerShell 脚本。
Kill.png：一个 PowerShell 脚本，旨在注入和加载可执行文件以删除安全代理。

PowerShell 脚本创建多个计划任务以确保持久性：

“OneDriveCloudSync”每 20 分钟运行一次恶意服务 DLL。
“DefaultBrowserUpdate” 每小时运行一次批处理脚本。
“OneDriveCloudBackup”每 40 分钟执行一次“smartsscreen.exe”。

随后，下载并执行 XMRig 挖矿程序来挖掘加密货币。XMRig 是一款合法的高性能开源应用程序，能够挖掘门罗币加密货币，并被威胁行为者广泛使用。配置文件将所有生成的加密货币定向到攻击者控制的钱包。

该活动包含多种后备机制，以确保持续运行。如果主要 C2 域不可用，它将使用备份服务器和基于 FTP 的回退系统。 PowerShell 脚本“kill.png”通过具有与“smartsscreen.exe”类似的功能来删除安全代理二进制文件，从而提供冗余。

该恶意软件还使用Windows 服务加载的DLL 文件（“oci.dll”）来维持额外的持久性并从 C2 服务器下载进一步的更新。

攻击者利用 BYOVD 技术提升权限并逃避检测
攻击活动中利用的驱动程序运行在ring 0，这是操作系统提供的最高权限级别，允许直接访问关键系统资源。威胁行为者利用 Avast 驱动程序“aswArPot.sys”来终止安全进程，并利用 IObit 驱动程序“IObitUnlockers.sys”来删除安全代理二进制文件。

由于攻击逃避了端点检测和响应 (EDR) 系统，为了防御这种复杂的活动，安全团队应该监控异常的 PowerShell 执行、可疑的进程活动以及指向已识别的加密挖掘池的网络流量。

研究人员提供了 YARA 规则来帮助识别 GHOSTENGINE 感染。此外，组织应考虑阻止由“aswArPot.sys”和“IObitUnlockers.sys”等易受攻击的驱动程序创建文件。

REF4578/HIDDEN SHOVEL 加密劫持活动所表现出的先进水平使其成为令人担忧的问题，并需要采取紧急补救行动。

文章原文链接:https://www.anquanke.com/post/id/296712