ClickCease Exploit GHOSTENGINE : Les pilotes vulnérables font l'objet d'une attaque

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Exploit GHOSTENGINE : Les pilotes vulnérables font l'objet d'une attaque

Wajahat Raja

Le 6 juin 2024 - L'équipe d'experts de TuxCare

A récente révélation dans le domaine de la cybersécurité a mis au jour une évolution inquiétante baptisée GHOSTENGINE, une campagne de cryptojacking utilisant une méthode sophistiquée pour contourner les mesures de sécurité. Dans ce blog, nous examinerons l'exploit exploit GHOSTENGINE en détail, en mettant en lumière son modus operandi et ses implications pour la sécurité numérique.

 

Comprendre l'exploit GHOSTENGINE


Des chercheurs en cybersécurité ont mis au jour une nouvelle technique de
cryptojacking connue sous le nom de GHOSTENGINE, qui se caractérise par l'utilisation de pilotes vulnérables pour subvertir les protocoles de sécurité établis. Elastic Security Labs, dans sa quête de suivi de cette campagne, l'a identifiée sous le nom de REF4578, l'arme principale étant GHOSTENGINE.

La complexité de la campagne est remarquable, car elle témoigne d'un effort délibéré pour assurer le déploiement et la persistance sans faille des activités malveillantes. L'exploit GHOSTENGINE comprend un contournement de l'EDR pour désactiver et supprimer les agents de sécurité qui interfèrent.

 

L'anatomie de l'attaque


Au cœur de GHOSTENGINE se trouve une approche multicouche de l'infiltration. Le processus commence par l'exécution d'un fichier exécutable nommé "Tiworker.exe", qui déclenche ensuite un
script PowerShell. Ce script, déguisé en image PNG bénigne ("get.png"), communique avec un serveur de commande et de contrôle (C2). serveur de commande et de contrôle (C2) pour récupérer des charges utiles supplémentaires. Ces charges utiles, qui comprennent divers modules et exécutables, sont téléchargées sur l'hôte infecté via des canaux HTTP ou FTP.


Exploiter les vulnérabilités


GHOSTENGINE exploite
pilotes vulnérablesvulnérables, tels que "aswArPot.sys" et "IObitUnlockers.sys", pour désactiver les systèmes de sécurité PowerShell établis. PowerShell établies PowerShell, comme l'antivirus Microsoft Defender. Ces pilotes facilitent l'exécution transparente de processus malveillants, garantissant le déploiement et la persistance du mineur XMRig minerun outil utilisé pour le minage de crypto-monnaies.

 

Persistance et dissimulation


La dégradation des performances du système
peut résulter de divers facteurs, notamment de conflits logiciels et de dysfonctionnements matériels. Pour maintenir un pied dans le système compromis, GHOSTENGINE emploie plusieurs tactiques.

Les tâches programmées sont créées pour exécuter les DLL malveillantes à intervalles réguliers, assurant ainsi le fonctionnement continu du logiciel malveillant. En outre, le logiciel malveillant efface les journaux d'événements et s'assure qu'il y a suffisamment d'espace disque pour télécharger et stocker des fichiers supplémentaires, ce qui lui permet d'échapper à la détection et à la suppression.


Implications et stratégies d'atténuation


L'émergence de
l'émergence de GHOSTENGINE souligne l'évolution du paysage des cybermenaces, où les attaquants utilisent des techniques sophistiquées pour échapper à la détection et maximiser leur impact. Pour atténuer ces menaces, il faut adopter une approche proactive, notamment en procédant régulièrement à des mises à jour régulières des pilotes des protocoles de sécurité et l'adoption de solutions robustes de détection et d'intervention au niveau des points d'extrémité. La surveillance des processus suspects est un aspect essentiel des stratégies modernes de cybersécurité, qui permet aux organisations de détecter les menaces potentielles et d'y répondre en temps réel.


L'essor du BYOVD


GHOSTENGINE incarne la tendance croissante du
Bring Your Own Vulnerable Driver (BYOVD) privilégiées par les acteurs étatiques et les cybercriminels financièrement motivés. Cette technique, qui consiste à charger des pilotes vulnérables dans le noyau pour effectuer des actions privilégiées, pose un défi de taille aux mesures de sécurité traditionnelles.


Combler les lacunes en matière de sécurité


Les organisations s'appuient de plus en plus sur les
solutions EDR pour renforcer leurs défenses en matière de cybersécurité face à des menaces en constante évolution. Bien que des initiatives telles que la liste de blocage des pilotes vulnérables de Microsoft offrent une certaine protection contre les attaques BYOVD, des mesures proactives sont essentielles. Des mises à jour régulières des protocoles de sécurité et une sensibilisation accrue des utilisateurs peuvent atténuer le risque posé par ces vulnérabilités.


Conclusion


Le vol de ressources
constitue une menace importante pour les entreprises, car il a un impact sur la productivité et la rentabilité. L'émergence de GHOSTENGINE met en évidence la menace constante que représentent les cyberadversaires. Alors que les organisations naviguent dans un paysage numérique de plus en plus complexe, la vigilance et l'adaptabilité, en particulier la correction des vulnérabilités sont primordiales. En comprenant les tactiques employées par les acteurs malveillants et en mettant en œuvre des mesures de sécurité robustesEn comprenant les tactiques employées par les acteurs malveillants et en mettant en œuvre des mesures de sécurité robustes, les entreprises peuvent protéger leurs actifs numériques et assurer la continuité face à l'évolution des menaces.

Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.

Résumé
Exploit GHOSTENGINE : Les pilotes vulnérables font l'objet d'une attaque
Nom de l'article
Exploit GHOSTENGINE : Les pilotes vulnérables font l'objet d'une attaque
Description
Découvrez l'exploit GHOSTENGINE qui cible les pilotes vulnérables et permet le cryptojacking. Restez informé et protégez vos systèmes dès maintenant.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information