Cybersecurity-onderzoekers hebben een nieuwe cryptojacking-campagne ontdekt die gebruik maakt van kwetsbare stuurprogramma's om bekende beveiligingsoplossingen (EDR's) uit te schakelen en detectie te dwarsbomen bij een zogenoemde Bring Your Own Vulnerable Driver (BYOVD)-aanval.
Elastic Security Labs volgt de campagne onder de naam REF4578 en de primaire payload als GHOSTENGINE. Eerder onderzoek van het Chinese cyberbeveiligingsbedrijf Antiy Labs heeft de activiteit de codenaam HIDDEN SHOVEL gegeven.
“GHOSTENGINE maakt gebruik van kwetsbare stuurprogramma's om bekende EDR-agents te beëindigen en te verwijderen die waarschijnlijk de ingezette en bekende muntmijnwerker zouden verstoren”, aldus Elastic-onderzoekers Salim Bitam, Samir Bousseaden, Terrance DeJesus en Andrew Pease.
“Deze campagne bracht een ongebruikelijke hoeveelheid complexiteit met zich mee om zowel de installatie als het voortbestaan van de XMRig-mijnwerker te garanderen.”
Het begint allemaal met een uitvoerbaar bestand (“Tiworker.exe”), dat wordt gebruikt om een PowerShell-script uit te voeren dat een versluierd PowerShell-script ophaalt dat zich voordoet als een PNG-afbeelding (“get.png”) om extra payloads van een opdracht op te halen. and-control (C2)-server.
Deze modules – aswArPot.sys, IObitUnlockers.sys, curl.exe, smartsscreen.exe, oci.dll, backup.png en kill.png – worden gelanceerd op de geïnfecteerde host nadat ze via HTTP zijn gedownload vanaf de geconfigureerde C2 server of een back-upserver voor het geval de domeinen niet beschikbaar zijn. Het bevat ook een op FTP gebaseerd fallback-mechanisme.
Bovendien probeert de malware Microsoft Defender Antivirus uit te schakelen, verschillende Windows-gebeurtenislogboeken te wissen en ervoor te zorgen dat het C:-volume ten minste 10 MB vrije ruimte heeft om bestanden te downloaden, die vervolgens worden opgeslagen in C:Windows map Lettertypen.
“Als dat niet het geval is, zal het proberen grote bestanden van het systeem te verwijderen voordat het op zoek gaat naar een ander geschikt volume met voldoende ruimte en een map maakt onder $RECYCLE.BINFonts”, aldus de onderzoekers.
Het PowerShell-script is ook ontworpen om drie geplande taken op het systeem te maken om elke 20 minuten een kwaadaardige DLL uit te voeren, zichzelf elk uur op te starten door middel van een batchscript en smartsscreen.exe elke 40 minuten uit te voeren.
De belangrijkste lading van de aanvalsketen is smartsscreen.exe (ook bekend als GHOSTENGINE), waarvan het belangrijkste doel is om beveiligingsprocessen te deactiveren met behulp van het kwetsbare Avast-stuurprogramma (“aswArPot.sys”), de initiële infectie te voltooien en de mijnwerker uit te voeren.
Het binaire bestand van de beveiligingsagent wordt vervolgens verwijderd door middel van een ander kwetsbaar stuurprogramma van IObit (“iobitunlockers.sys”), waarna het XMRig-clientminingprogramma wordt gedownload van de C2-server en wordt uitgevoerd.
Het DLL-bestand wordt gebruikt om de persistentie van de malware te garanderen en updates van de C2-servers te downloaden door het get.png-script op te halen en uit te voeren, terwijl het “backup.png” Powershell-script fungeert als een achterdeur om uitvoering van externe opdrachten op de computer mogelijk te maken. systeem.
In wat is geïnterpreteerd als een redundantiemaatregel, heeft het PowerShell-script “kill.png” vergelijkbare mogelijkheden als smartsscreen.exe om binaire bestanden van beveiligingsagenten te verwijderen door een uitvoerbaar bestand in het geheugen te injecteren en te laden.
De ontwikkeling komt op het moment dat het Uptycs Threat Research Team een grootschalige, lopende operatie ontdekte sinds januari 2024 die bekende fouten in het Log4j-logprogramma (bijvoorbeeld CVE-2021-44228) exploiteert om een XMRig-miner op de beoogde hosts te leveren.
“Na het compromitteren van een slachtoffermachine, initieerde het contact met een URL om een shellscript op te halen voor de inzet van de XMRig-mijnwerker, of als alternatief verspreidde het in bepaalde gevallen Mirai- of Gafgyt-malware”, aldus beveiligingsonderzoeker Shilpesh Trivedi.
Het merendeel van de getroffen servers bevindt zich in China, gevolgd door Hong Kong, Nederland, Japan, de VS, Duitsland, Zuid-Afrika en Zweden.
BYOVD en andere methoden om beveiligingsmechanismen te ondermijnen
BYOVD is een steeds populairder wordende techniek waarbij een bedreigingsacteur een bekend kwetsbaar ondertekend stuurprogramma meeneemt, deze in de kernel laadt en deze exploiteert om geprivilegieerde acties uit te voeren, vaak met als doel beveiligingsprocessen uit te schakelen en deze heimelijk te laten werken.
“Stuurprogramma's draaien op ring 0, het meest geprivilegieerde niveau van het besturingssysteem”, merkt het Israëlische cyberbeveiligingsbedrijf Cymulate op. “Hierdoor krijgen ze directe toegang tot kritisch geheugen, CPU, I/O-bewerkingen en andere fundamentele bronnen. In het geval van BYOVD is de aanval bedoeld om een kwetsbare driver te laden om de aanval te bevorderen.”
Hoewel Microsoft vanaf Windows 11 22H2 standaard de blokkeringslijst voor kwetsbare stuurprogramma's heeft geïmplementeerd, wordt de lijst slechts één of twee keer per jaar bijgewerkt, waardoor gebruikers deze periodiek handmatig moeten bijwerken voor optimale bescherming.
De exacte omvang van de campagne blijft onbekend en het is momenteel niet duidelijk wie erachter zit. De ongebruikelijke verfijning achter wat een eenvoudige illegale aanval op cryptocurrency-mining lijkt, valt echter op.
De onthulling volgt ook op de ontdekking van een nieuwe techniek genaamd EDRaser die gebruik maakt van fouten in Microsoft Defender (CVE-2023-24860 en CVE-2023-36010) om op afstand toegangslogboeken, Windows-gebeurtenislogboeken, databases en andere bestanden te verwijderen.
Het probleem, dat ook gevolgen heeft voor Kaspersky, komt voort uit het feit dat beide beveiligingsprogramma's byte-handtekeningen gebruiken om malware te detecteren, waardoor een bedreigingsactor malware-handtekeningen in legitieme bestanden kan implanteren en de tools voor de gek kan houden door te denken dat ze kwaadaardig zijn, aldus SafeBreach.
Het cyberbeveiligingsbedrijf heeft afzonderlijk een creatieve exploit blootgelegd om de beveiligingsbescherming van Palo Alto Networks Cortex XDR te omzeilen en deze te bewapenen om een reverse shell en ransomware in te zetten, waardoor deze effectief wordt omgevormd tot een frauduleus offensief hulpmiddel.
In de kern maakt de bypass het mogelijk om een kwetsbaar stuurprogramma (“rtcore64.sys”) te laden via een BYOVD-aanval en met de oplossing te knoeien om te voorkomen dat een legitieme beheerder de software verwijdert en uiteindelijk kwaadaardige code in een van zijn processen invoegt. het verlenen van hoge rechten aan de bedreigingsacteur, terwijl hij onopgemerkt en volhardend blijft.
“De logica achter de detectieprocessen van een beveiligingsproduct moet nauwlettend worden bewaakt”, zei beveiligingsonderzoeker Shmuel Cohen vorige maand. “Door aanvallers toegang te geven tot deze gevoelige detectielogica via de inhoudsbestanden van de oplossing, is de kans veel groter dat ze er een manier omheen kunnen vinden.”
Een andere nieuwe methode is HookChain, die, zoals de Braziliaanse veiligheidsonderzoeker Helvio Carvalho Junior zegt, het combineren van IAT-hooking, dynamische systeemservicenummers (SSN)-resolutie en indirecte systeemoproepen omvat om te ontsnappen aan monitoring- en controlemechanismen die door beveiligingssoftware in de gebruikersmodus worden geïmplementeerd, met name in de NTDLL.dll-bibliotheek.
“HookChain is in staat om de uitvoeringsstroom van alle belangrijke Windows-subsystemen om te leiden, zoals kernel32.dll, kernelbase.dll en user32.dll”, zegt Carvalho Junior in een nieuw gepubliceerd artikel.
“Dit betekent dat HookChain, eenmaal geïmplementeerd, ervoor zorgt dat alle API-aanroepen binnen de context van een applicatie transparant worden uitgevoerd, waardoor detectie door (eindpuntdetectie- en responssoftware) volledig wordt vermeden.”
