Pesquisadores de segurança cibernética descobriram uma nova campanha de cryptojacking que emprega drivers vulneráveis para desabilitar soluções de segurança conhecidas (EDRs) e impedir a detecção no que é chamado de ataque Traga seu próprio driver vulnerável (BYOVD).
O Elastic Safety Labs está rastreando a campanha sob o nome REF4578 e a carga primária como GHOSTENGINE. Uma pesquisa anterior da empresa chinesa de segurança cibernética Antiy Labs nomeou a atividade como HIDDEN SHOVEL.
“O GHOSTENGINE aproveita drivers vulneráveis para encerrar e excluir agentes EDR conhecidos que provavelmente interfeririam no conhecido minerador de moedas implantado”, disseram os pesquisadores da Elastic Salim Bitam, Samir Bousseaden, Terrance DeJesus e Andrew Pease.
“Esta campanha envolveu uma complexidade incomum para garantir a instalação e a persistência do minerador XMRig.”
Tudo começa com um arquivo executável (“Tiworker.exe”), que é usado para executar um script do PowerShell que recupera um script do PowerShell ofuscado que se disfarça como uma imagem PNG (“get.png”) para buscar cargas adicionais de um comando- servidor de controle e controle (C2).
Esses módulos – aswArPot.sys, IObitUnlockers.sys, curl.exe, smartsscreen.exe, oci.dll, backup.png e kill.png – são iniciados no host infectado após baixá-los por HTTP do C2 configurado. servidor ou um servidor de backup caso os domínios não estejam disponíveis. Ele também incorpora um mecanismo de fallback baseado em FTP.
Além disso, o malware tenta desabilitar o Microsoft Defender Antivirus, limpar vários canais de log de eventos do Home windows e garantir que o quantity C: tenha pelo menos 10 MB de espaço livre para baixar arquivos, que são então armazenados em C:Home windows Pasta de fontes.
“Caso contrário, ele tentará excluir arquivos grandes do sistema antes de procurar outro quantity adequado com espaço suficiente e criar uma pasta em $RECYCLE.BINFonts”, disseram os pesquisadores.
O script do PowerShell também foi projetado para criar três tarefas agendadas no sistema para executar uma DLL maliciosa a cada 20 minutos, iniciar-se por meio de um script em lote a cada hora e executar smartsscreen.exe a cada 40 minutos.
A carga principal da cadeia de ataque é smartsscreen.exe (também conhecido como GHOSTENGINE), cujo objetivo principal é desativar processos de segurança usando o driver Avast vulnerável (“aswArPot.sys”), completar a infecção inicial e executar o minerador.
O binário do agente de segurança é então excluído por meio de outro driver vulnerável do IObit (“iobitunlockers.sys”), após o qual o programa de mineração do cliente XMRig é baixado do servidor C2 e executado.
O arquivo DLL é usado para garantir a persistência do malware e baixar atualizações dos servidores C2, buscando o script get.png e executando-o, enquanto o script Powershell “backup.png” funciona como um backdoor para permitir a execução remota de comandos no sistema.
No que foi interpretado como uma medida de redundância, o script do PowerShell “kill.png” tem recursos semelhantes ao smartsscreen.exe para excluir binários do agente de segurança injetando e carregando um arquivo executável na memória.
O desenvolvimento ocorre no momento em que a equipe de pesquisa de ameaças da Uptycs descobre uma operação contínua em grande escala desde janeiro de 2024 que explora falhas conhecidas no utilitário de registro Log4j (por exemplo, CVE-2021-44228) para entregar um minerador XMRig nos hosts alvo.
“Depois de comprometer a máquina da vítima, ele iniciou contato com uma URL para buscar um script de shell para a implantação do minerador XMRig ou, alternativamente, em casos selecionados, disseminou o malware Mirai ou Gafgyt”, disse o pesquisador de segurança Shilpesh Trivedi.
A maioria dos servidores afetados está localizada na China, seguida por Hong Kong, Holanda, Japão, EUA, Alemanha, África do Sul e Suécia.
BYOVD e outros métodos para minar os mecanismos de segurança
BYOVD é uma técnica cada vez mais well-liked em que um agente de ameaça traz um driver assinado e conhecido como vulnerável, carrega-o no kernel e o explora para executar ações privilegiadas, muitas vezes com o objetivo de desarmar processos de segurança e permitir que operem furtivamente.
“Os drivers funcionam no anel 0, o nível mais privilegiado do sistema operacional”, observa a empresa israelense de segurança cibernética Cymulate. “Isso lhes concede acesso direto à memória crítica, CPU, operações de E/S e outros recursos fundamentais. No caso do BYOVD, o ataque é projetado para carregar um driver vulnerável para promover o ataque.”
Embora a Microsoft tenha implantado a lista de bloqueio de drivers vulneráveis por padrão a partir do Home windows 11 22H2, a lista só é atualizada uma ou duas vezes por ano, exigindo que os usuários a atualizem manualmente periodicamente para proteção perfect.
O escopo exato da campanha permanece desconhecido e atualmente não está claro quem está por trás dela. No entanto, a sofisticação incomum por trás do que parece ser um ataque direto e ilícito de mineração de criptomoedas merece atenção.
A divulgação também segue a descoberta de uma nova técnica chamada EDRaser que aproveita falhas do Microsoft Defender (CVE-2023-24860 e CVE-2023-36010) para excluir remotamente logs de acesso, logs de eventos do Home windows, bancos de dados e outros arquivos.
O problema, que também afeta a Kaspersky, decorre do fato de que ambos os programas de segurança usam assinaturas de bytes para detectar malware, permitindo assim que um agente de ameaça implante assinaturas de malware em arquivos legítimos e engane as ferramentas fazendo-as pensar que são maliciosas, disse SafeBreach.
A empresa de segurança cibernética descobriu separadamente uma exploração criativa para contornar as proteções de segurança oferecidas pelo Cortex XDR da Palo Alto Networks e transformá-lo em uma arma para implantar um shell reverso e ransomware, redirecionando-o efetivamente para uma ferramenta ofensiva desonesta.
Basicamente, o desvio torna possível carregar um driver vulnerável (“rtcore64.sys”) por meio de um ataque BYOVD e adulterar a solução para evitar que um administrador legítimo remova o software program e, por fim, insira código malicioso em um de seus processos, conceder altos privilégios ao ator da ameaça, permanecendo indetectado e persistente.
“A lógica por trás dos processos de detecção de um produto de segurança deve ser bem guardada”, disse o pesquisador de segurança Shmuel Cohen no mês passado. “Ao dar aos invasores acesso a essa lógica de detecção sensível por meio dos arquivos de conteúdo da solução, é muito mais provável que eles consigam criar uma maneira de contornar isso”.
Outro método inovador é o HookChain, que, como explica o pesquisador de segurança brasileiro Helvio Carvalho Junior, envolve a combinação de hooking IAT, resolução dinâmica de números de serviço de sistema (SSN) e chamadas indiretas de sistema para escapar dos mecanismos de monitoramento e controle implementados por software program de segurança no modo de usuário, particularmente na biblioteca NTDLL.dll.
“HookChain é capaz de redirecionar o fluxo de execução de todos os principais subsistemas do Home windows, como kernel32.dll, kernelbase.dll e user32.dll”, disse Carvalho Junior em artigo recém-publicado.
“Isso significa que, uma vez implantado, o HookChain garante que todas as chamadas de API dentro do contexto de um aplicativo sejam realizadas de forma transparente, evitando completamente a detecção por (software program de detecção e resposta de endpoint).”
