Getty Images
Forscher sagten am Dienstag, dass kürzlich in freier Wildbahn entdeckte Schadsoftware ausgeklügelte Maßnahmen nutzt, um Virenschutzmechanismen zu deaktivieren, Hinweise auf eine Infektion zu vernichten und Rechner dauerhaft mit Software zum Mining von Kryptowährungen zu infizieren.
Der Schlüssel zum Funktionieren des ungewöhnlich komplexen Malware-Systems ist eine Funktion in der Hauptnutzlast namens GhostEngine, die Microsoft Defender oder andere Antiviren- oder Endpunktschutzsoftware deaktiviert, die möglicherweise auf dem Zielcomputer ausgeführt wird. Außerdem werden alle Hinweise auf eine Kompromittierung ausgeblendet. „Das erste Ziel der GhostEngine-Malware besteht darin, Endpunktsicherheitslösungen außer Gefecht zu setzen und bestimmte Windows-Ereignisprotokolle wie Sicherheits- und Systemprotokolle zu deaktivieren, die die Prozesserstellung und Dienstregistrierung aufzeichnen“, sagten Forscher von Elastic Security Labs, die die Angriffe entdeckten.
Bei der ersten Ausführung durchsucht GhostEngine Maschinen nach möglicherweise ausgeführter EDR- oder Endpoint Protection and Response-Software. Wenn es welche findet, lädt es Treiber, von denen bekannt ist, dass sie Schwachstellen enthalten, die es Angreifern ermöglichen, auf den Kernel zuzugreifen, den Kern aller Betriebssysteme, der stark eingeschränkt ist, um Manipulationen zu verhindern. Einer der anfälligen Treiber ist eine Anti-Rootkit-Datei von Avast namens aswArPots.sys. GhostEngine verwendet es, um den EDR-Sicherheitsagenten zu beenden. Eine schädliche Datei namens smartscreen.exe verwendet dann einen Treiber von IObit namens iobitunlockers.sys, um die Binärdatei des Sicherheitsagenten zu löschen.
„Sobald die anfälligen Treiber geladen sind, verringern sich die Erkennungsmöglichkeiten erheblich und Unternehmen müssen kompromittierte Endpunkte finden, die aufhören, Protokolle an ihr SIEM zu übertragen“, schrieben die Forscher unter Verwendung der Abkürzung für Security Information and Event Management. Ihre Forschung deckt sich mit den jüngsten Erkenntnissen von Antiy.
Sobald der EDR beendet wurde, lädt smartscreen.exe XMRig herunter und installiert es, eine legitime Anwendung zum Mining der Monero-Kryptowährung, die häufig von Bedrohungsakteuren missbraucht wird. Eine enthaltene Konfigurationsdatei sorgt dafür, dass alle erstellten Coins in einem vom Angreifer kontrollierten Wallet hinterlegt werden.
Die Infektionskette beginnt mit der Ausführung einer bösartigen Binärdatei, die sich als legitime Windows-Datei TiWorker.exe tarnt. Diese Datei führt ein PowerShell-Skript aus, das ein verschleiertes Skript mit dem Titel get.png abruft, das zusätzliche Tools, Module und Konfigurationen von einem vom Angreifer kontrollierten Server herunterlädt. Elastic Security Labs hat die folgende Grafik bereitgestellt, die den gesamten Ausführungsablauf veranschaulicht:
Elastische Sicherheitslabore
GhostEngine führt außerdem mehrere Dateien aus, die der Malware Persistenz verleihen, d. h. sie wird bei jedem Neustart des infizierten Computers geladen. Zu diesem Zweck erstellt die verantwortliche Datei mit dem Namen get.png die folgenden geplanten Aufgaben mit SYSTEM, den höchsten Systemberechtigungen in Windows:
- OneDriveCloudSync Verwenden von msdtc, um alle 20 Minuten die schädliche Dienst-DLL C:WindowsSystem32oci.dll auszuführen (wird später beschrieben)
- Standardbrowserupdate um C:UsersPublicrun.bat auszuführen, das das Skript get.png herunterlädt und alle 60 Minuten ausführt
- OneDriveCloudBackup um C:WindowsFontssmartsscreen.exe alle 40 Minuten auszuführen.
Eine separate Komponente kann als Hintertür fungieren, die es den Angreifern ermöglicht, weitere Malware auf den infizierten Computer herunterzuladen und auszuführen. Ein PowerShell-Skript mit dem Titel „backup.png“ „funktioniert wie eine Hintertür und ermöglicht die Remote-Befehlsausführung auf dem System“, schreiben die Forscher. „Es sendet kontinuierlich ein Base64-codiertes JSON-Objekt mit einer eindeutigen ID, die aus der aktuellen Uhrzeit und dem Computernamen abgeleitet wird, während es auf base64-codierte Befehle wartet. Die Ergebnisse dieser Befehle werden dann zurückgesendet.“
Die Forscher extrahierten die Datei, die die Malware zur Konfiguration von XMRig verwendete. Sie erstellte eine Zahlungs-ID mit folgender Bezeichnung:
468ED2Qcchk4shLbD8bhbC3qz2GFXqjAUWPY3VGbmSM2jfJw8JpSDDXP5xpkMAHG98FHLmgvSM6ZfUqa9gvArUWP59tEd3f
Die ID ermöglichte es den Forschern, die Arbeiter- und Poolstatistiken auf einer der in der Konfiguration aufgeführten Monero-Mining-Pool-Sites anzuzeigen.
Elastische Sicherheitslabore
Die Zahlungs-ID zeigte, dass XMRig den Angreifern nur etwas mehr als 60 US-Dollar eingebracht hatte. Die Forscher stellten jedoch fest, dass andere in derselben Kampagne infizierte Maschinen andere IDs erhielten, die möglicherweise größere Mengen an Monero generiert hätten.
Da die Kampagne eine Reihe von EDR-Schutzmaßnahmen erfolgreich deaktiviert, müssen Administratoren auf andere Mittel zurückgreifen, um Infektionen in ihren Netzwerken zu entdecken. Die Forscher haben eine Reihe von YARA-Regeln veröffentlicht, die Infektionen kennzeichnen. Sie funktionieren hauptsächlich, indem sie das Vorhandensein der GhostEngine-Malware erkennen und die Avast- und IOBit-Treiber installieren. Der Beitrag vom Dienstag enthält außerdem eine Liste von Datei-Hashes, IP-Adressen und Domänennamen, die auf gezielte Angriffe oder Infektionen hinweisen.
