Exploit GHOSTENGINE: Ataque a los controladores vulnerables
A revelación reciente en el ámbito de la ciberseguridad descubre un preocupante desarrollo apodado GHOSTENGINE, una campaña de cryptojacking que emplea un sofisticado método para eludir las medidas de seguridad. En este blog, analizaremos el exploit exploit GHOSTENGINE en detalle, arrojando luz sobre su modus operandi y sus implicaciones para la seguridad digital.
Entender el exploit GHOSTENGINE
Investigadores de ciberseguridad han descubierto un novedoso cryptojacking conocida como GHOSTENGINE, caracterizada por utilizar controladores vulnerables para subvertir los protocolos de seguridad establecidos. Elastic Security Labs, en su afán por rastrear esta campaña, la ha identificado como REF4578, siendo su arma principal GHOSTENGINE.
Cabe destacar la complejidad de la campaña, que indica un esfuerzo deliberado por garantizar el despliegue y la persistencia sin fisuras de actividades maliciosas. El exploit GHOSTENGINE incluye un derivación EDR para desactivar y eliminar los agentes de seguridad que interfieren.
Anatomía del ataque
En el corazón de GHOSTENGINE se encuentra un enfoque multicapa de infiltración. El proceso se inicia con la ejecución de un archivo ejecutable llamado "Tiworker.exe", que desencadena un script de secuencia de comandos PowerShell. Este script, camuflado como una imagen PNG benigna ("get.png"), se comunica con un sistema de comando y control (C2). servidor de mando y control (C2) para recuperar cargas útiles adicionales. Estas cargas útiles, que incluyen varios módulos y ejecutables, se descargan en el host infectado a través de canales basados en HTTP o FTP.
Aprovechamiento de vulnerabilidades
GHOSTENGINE aprovecha controladores vulnerablesvulnerables, como "aswArPot.sys" e "IObitUnlockers.sys", para desactivar la seguridad de seguridad PowerShell como el antivirus Microsoft Defender. Estos controladores facilitan la ejecución sin problemas de procesos maliciosos, asegurando el despliegue y la persistencia del minero XMRiguna herramienta utilizada para la minería de criptomonedas.
Persistencia y ocultación
La degradación del rendimiento del sistema puede deberse a diversos factores, como conflictos de software y fallos de hardware. Para mantenerse dentro del sistema comprometido, GHOSTENGINE emplea varias tácticas.
Tareas programadas se crean para ejecutar DLL maliciosas a intervalos regulares, asegurando el funcionamiento continuo del malware. Además, el malware borra los registros de eventos y asegura suficiente espacio en disco para descargar y almacenar archivos adicionales, evadiendo así su detección y eliminación.
Implicaciones y estrategias de mitigación
La aparición de GHOSTENGINE subraya la evolución del panorama de las ciberamenazas, en el que los atacantes utilizan técnicas sofisticadas para eludir la detección y maximizar su impacto. La mitigación de estas amenazas requiere un enfoque proactivo, que incluya actualizaciones periódicas de los controladores. actualizaciones a los protocolos de seguridad y la adopción de soluciones robustas de detección y respuesta de puntos finales. Supervisión de procesos sospechosos es un aspecto crítico de las estrategias modernas de ciberseguridad, que permite a las organizaciones detectar y responder a amenazas potenciales en tiempo real.
El auge del BYOVD
GHOSTENGINE personifica la creciente tendencia de Traiga su propio conductor vulnerable (BYOVD) favorecidos tanto por agentes estatales como por ciberdelincuentes con motivaciones económicas. Esta técnica, que consiste en cargar controladores vulnerables en el kernel para realizar acciones privilegiadas, supone un reto importante para las medidas de seguridad tradicionales.
Subsanar las deficiencias de seguridad
Las organizaciones confían cada vez más en soluciones EDR para reforzar sus defensas de ciberseguridad contra las amenazas en evolución. Aunque iniciativas como la Vulnerable Driver Blocklist de Microsoft ofrecen cierta defensa contra los ataques BYOVD, las medidas proactivas son esenciales. Las actualizaciones periódicas de los protocolos de seguridad y una mayor concienciación de los usuarios pueden mitigar el riesgo que plantean estas vulnerabilidades.
Conclusión
El robo de recursos representa una importante amenaza para las empresas, ya que afecta a su productividad y rentabilidad. La aparición de GHOSTENGINE pone de manifiesto la amenaza constante que representan los ciberadversarios. A medida que las organizaciones navegan por un panorama digital cada vez más complejo, la vigilancia y la adaptabilidad, especialmente parcheo de vulnerabilidades son primordiales. Al comprender las tácticas empleadas por los actores maliciosos e implementar medidas de seguridad sólidaslas empresas pueden salvaguardar sus activos digitales y garantizar la continuidad frente a la evolución de las amenazas.
Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.