Kriminelle nutzen kontinuierlich ausgeklügelte Techniken um die Ressourcen von Computern auszubeuten – für ihre Zwecke. Angriffe wie die kürzlich aufgedeckte Krypto-Mining-Kampagne GhostEngine verdeutlichen dies.
Unbekannte Herkunft und fehlende Klarheit über das Ausmaß
Forscher von Elastic Security Labs und Antiy haben unabhängig voneinander Berichte über GhostEngine verfasst. Sie erstellten Erkennungsregeln um Angriffe frühzeitig zu erkennen – und zu verhindern.
GhostEngine trickst Sicherheitslösungen aus
Die Ziele und Opfer dieser Kampagne bleiben bislang unbekannt; die Raffinesse jedoch ist verblüffend. Wer für diese Angriffe verantwortlich ist – bleibt weiterhin unklar. Keine Berichte verweisen auf bekannte Bedrohungsakteure – oder Details zu betroffenen Systemen.
Die Mechanismen hinter GhostEngine
GhostEngine nutzt eine Vielzahl von Techniken um Sicherheitssoftware zu überlisten. Angreifer wollen unbemerkt Rechenleistung anzapfen – für das Schürfen von Kryptowährungen wie Monero. Der Angriff verläuft in mehreren Schritten:
- Getarnte Startdatei: Die Malware als vermeintlich harmlose Windows-Datei "Tiworker.exe" tarnt sich.
- Vielseitige PowerShell-Nutzlast: Ein spezialisiertes PowerShell-Skript wird von der Infrastruktur der Angreifer nachgeladen. Dieses Skript deaktiviert Windows Defender – Remote-Verbindungen sind jetzt möglich – und löscht Protokolldateien.
- Deaktivierung von EDR: Die Hauptnutzlast "smartscreen.exe" wird implementiert. GhostEngine nutzt Schwachstellen in Drittanbieter-Treibern um EDR-Lösungen (Endpoint Detection & Response) abzuschalten.
- Mining-Komponente: Der XMRig-Miner wird heruntergeladen – unbemerkt im Hintergrund Kryptomining für die Angreifer läuft jetzt.
Erfolgreiches Krypto-Mining: Empfohlene Schutzmaßnahmen
Forscher empfehlen, verdächtige PowerShell-Ausführungen – ungewöhnliche Prozessaktivitäten – und Netzwerkverkehr sorgfältig zu überwachen. Besonders verdächtig: Aktivitäten die auf Krypto-Mining-Pools hindeuten. Zudem sollten anfällige Treiber und die Erstellung von Kernel-Mode-Diensten genauestens überwacht werden.
Blockieren von Dateierstellung durch angreifbare Treiber ist effektiv – etwa aswArPots.sys und IobitUnlockers.sys. Elastic Security veröffentlichte YARA-Regeln die bei der Identifizierung von GhostEngine-Infektionen helfen. Diese Erkennungsmaßnahmen sollen helfen – Bedrohungen frühzeitig erkennen und geeignete Schutzmaßnahmen ergreifen.
Kommentare
: Modernen Cyber-Angriffen begegnen
GhostEngine steht stellvertretend für die Raffinesse moderner Cyber-Angriffe. Die Malware kombiniert geschickt diverse Techniken. Ziel ist das Umgehen von Sicherheitslösungen – und die Ausnutzung von Ressourcen der Opfersysteme. Dank der Erkennungsregeln von Elastic & Antiy können Bedrohungen jetzt frühzeitig identifiziert – und Systeme geschützt werden.