ClickCease Exploit GHOSTENGINE: Ataque a los controladores vulnerables

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Exploit GHOSTENGINE: Ataque a los controladores vulnerables

por Wajahat Raja

6 de junio de 2024 - Equipo de expertos TuxCare

A revelación reciente en el ámbito de la ciberseguridad descubre un preocupante desarrollo apodado GHOSTENGINE, una campaña de cryptojacking que emplea un sofisticado método para eludir las medidas de seguridad. En este blog, analizaremos el exploit exploit GHOSTENGINE en detalle, arrojando luz sobre su modus operandi y sus implicaciones para la seguridad digital.

 

Entender el exploit GHOSTENGINE


Investigadores de ciberseguridad han descubierto un novedoso
cryptojacking conocida como GHOSTENGINE, caracterizada por utilizar controladores vulnerables para subvertir los protocolos de seguridad establecidos. Elastic Security Labs, en su afán por rastrear esta campaña, la ha identificado como REF4578, siendo su arma principal GHOSTENGINE.

Cabe destacar la complejidad de la campaña, que indica un esfuerzo deliberado por garantizar el despliegue y la persistencia sin fisuras de actividades maliciosas. El exploit GHOSTENGINE incluye un derivación EDR para desactivar y eliminar los agentes de seguridad que interfieren.

 

Anatomía del ataque


En el corazón de GHOSTENGINE se encuentra un enfoque multicapa de infiltración. El proceso se inicia con la ejecución de un archivo ejecutable llamado "Tiworker.exe", que desencadena un script de
secuencia de comandos PowerShell. Este script, camuflado como una imagen PNG benigna ("get.png"), se comunica con un sistema de comando y control (C2). servidor de mando y control (C2) para recuperar cargas útiles adicionales. Estas cargas útiles, que incluyen varios módulos y ejecutables, se descargan en el host infectado a través de canales basados en HTTP o FTP.


Aprovechamiento de vulnerabilidades


GHOSTENGINE aprovecha
controladores vulnerablesvulnerables, como "aswArPot.sys" e "IObitUnlockers.sys", para desactivar la seguridad de seguridad PowerShell como el antivirus Microsoft Defender. Estos controladores facilitan la ejecución sin problemas de procesos maliciosos, asegurando el despliegue y la persistencia del minero XMRiguna herramienta utilizada para la minería de criptomonedas.

 

Persistencia y ocultación


La degradación del rendimiento del sistema
puede deberse a diversos factores, como conflictos de software y fallos de hardware. Para mantenerse dentro del sistema comprometido, GHOSTENGINE emplea varias tácticas.

Tareas programadas se crean para ejecutar DLL maliciosas a intervalos regulares, asegurando el funcionamiento continuo del malware. Además, el malware borra los registros de eventos y asegura suficiente espacio en disco para descargar y almacenar archivos adicionales, evadiendo así su detección y eliminación.


Implicaciones y estrategias de mitigación


La
aparición de GHOSTENGINE subraya la evolución del panorama de las ciberamenazas, en el que los atacantes utilizan técnicas sofisticadas para eludir la detección y maximizar su impacto. La mitigación de estas amenazas requiere un enfoque proactivo, que incluya actualizaciones periódicas de los controladores. actualizaciones a los protocolos de seguridad y la adopción de soluciones robustas de detección y respuesta de puntos finales. Supervisión de procesos sospechosos es un aspecto crítico de las estrategias modernas de ciberseguridad, que permite a las organizaciones detectar y responder a amenazas potenciales en tiempo real.


El auge del BYOVD


GHOSTENGINE personifica la creciente tendencia de
Traiga su propio conductor vulnerable (BYOVD) favorecidos tanto por agentes estatales como por ciberdelincuentes con motivaciones económicas. Esta técnica, que consiste en cargar controladores vulnerables en el kernel para realizar acciones privilegiadas, supone un reto importante para las medidas de seguridad tradicionales.


Subsanar las deficiencias de seguridad


Las organizaciones confían cada vez más en
soluciones EDR para reforzar sus defensas de ciberseguridad contra las amenazas en evolución. Aunque iniciativas como la Vulnerable Driver Blocklist de Microsoft ofrecen cierta defensa contra los ataques BYOVD, las medidas proactivas son esenciales. Las actualizaciones periódicas de los protocolos de seguridad y una mayor concienciación de los usuarios pueden mitigar el riesgo que plantean estas vulnerabilidades.


Conclusión


El robo de recursos
representa una importante amenaza para las empresas, ya que afecta a su productividad y rentabilidad. La aparición de GHOSTENGINE pone de manifiesto la amenaza constante que representan los ciberadversarios. A medida que las organizaciones navegan por un panorama digital cada vez más complejo, la vigilancia y la adaptabilidad, especialmente parcheo de vulnerabilidades son primordiales. Al comprender las tácticas empleadas por los actores maliciosos e implementar medidas de seguridad sólidaslas empresas pueden salvaguardar sus activos digitales y garantizar la continuidad frente a la evolución de las amenazas.

Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.

Resumen
Exploit GHOSTENGINE: Ataque a los controladores vulnerables
Nombre del artículo
Exploit GHOSTENGINE: Ataque a los controladores vulnerables
Descripción
Más información sobre el exploit GHOSTENGINE dirigido a controladores vulnerables, que permite el cryptojacking. Manténgase informado y proteja sus sistemas ahora.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.