Araştırmacılar, kripto madenciliği için yerleşik güvenlik çözümlerini (EDR’ler) devre dışı bırakmak için savunmasız sürücüleri kullanan ve GHOSTENGINE olarak bilinen kötü amaçlı bir veriyi dağıtan bir izinsiz giriş seti olan REF4578’i keşfetti.
GHOSTENGINE, makinenin modüllerinin bulunmasından ve çalıştırılmasından sorumludur. Yapılandırılmış bir alandan dosya indirmek için çoğunlukla HTTP’yi kullanır ve alanın kullanılamaması durumunda yedek IP’yi kullanır. Ayrıca, yerleşik kimlik bilgilerini içeren bir yedekleme protokolü olarak FTP’yi kullanır.
Bu kampanya, XMRIG madencisinin kurulu ve kalıcı olmasını sağlamak için alışılmadık düzeyde bir karmaşıklık gerektiriyordu.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
REF4578 Yürütme Akışı
Elastic Security Labs, REF4578 saldırısının 6 Mayıs 2024’te, orijinal Windows TiWorker.exe dosyası gibi görünen Tiworker.exe adlı bir PE dosyasının yürütülmesiyle başladığını bildirdi.
Telemetri, bilinen savunmasız bir sürücünün kullanıldığını öne süren aşağıdaki alarmları kaydetti.
Bu dosya, yürütüldüğünde izinsiz girişin tüm yürütme akışını yöneten bir PowerShell betiğini indirir ve çalıştırır.
Analize göre bu program, get.png adı verilen karmaşık bir komut dosyası elde etmek için sabit kodlu bir PowerShell komut satırını çalıştırıyor. Bu komut dosyası daha sonra saldırgan C2’den daha fazla araç, modül ve yapılandırma indirmek için kullanılır.
Powershell betiği, Windows Defender’ı devre dışı bırakmaya, uzak hizmetleri etkinleştirmeye ve Windows olay günlüğü kanallarını temizlemeye çalışır.
Daha sonra kalıcılığı sağlamak için get.png, OneDriveCloudSync,DefaultBrowserUpdate ve OneDriveCloudBackup zamanlanmış görevlerini SİSTEM olarak oluşturur.
GHOSTENGINE, yazılım güncellemelerini kontrol edebilen, güvenlik araçlarıyla oluşturabilen ve bir arka kapı oluşturabilen bir dizi modül yükler.
Smartscreen.exe modülünün ana işlevi, bir kripto para madencisini indirip kurmadan önce çalışan tüm EDR aracı işlemlerini sonlandırmaktır.
Araştırmacılar, “REF4578 izinsiz giriş setinin nihai hedefi, bir ortama erişim sağlamak ve kalıcı bir Monero kripto madencisi olan XMRig’i devreye almaktı” dedi.
Öneri
Sonuç olarak aşağıdaki erken eylemlerin öncelikle engellenmesi ve tespit edilmesi zorunludur:
- Şüpheli PowerShell yürütmesi
- Olağandışı dizinlerden yürütme
- Ayrıcalıkların sistem bütünlüğüne yükseltilmesi
- Savunmasız sürücülerin dağıtılması ve ilgili çekirdek modu hizmetlerinin kurulması.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın