ClickCease 고스트엔진 익스플로잇: 공격에 직면한 취약한 드라이버

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

고스트엔진 익스플로잇: 공격에 직면한 취약한 드라이버

by 와자핫 라자

2024년 6월 6일 TuxCare 전문가 팀

A 최근 사이버 보안 분야의 폭로 에서 보안 조치를 우회하는 정교한 방법을 사용하는 크립토재킹 캠페인인 고스트엔진이라는 우려스러운 개발이 발견되었습니다. 이 블로그에서는 고스트엔진 익스플로잇의 고스트엔진 익스플로잇 의 수법과 디지털 보안에 미치는 영향에 대해 자세히 살펴봅니다.

 

고스트엔진 익스플로잇의 이해


사이버 보안 연구자들이 새로운 형태의
크립토재킹 취약한 드라이버를 이용해 기존 보안 프로토콜을 무력화시키는 것이 특징인 새로운 크립토재킹 캠페인을 발견했습니다. 이 캠페인을 추적 중인 Elastic Security Labs는 이 캠페인이 REF4578로 확인되었으며, 주요 무기는 GHOSTENGINE입니다.

이 캠페인의 복잡성은 주목할 만하며, 이는 악성 활동의 원활한 배포와 지속성을 보장하기 위해 의도적으로 악의적인 활동. 고스트엔진 익스플로잇에는 다음이 포함됩니다. EDR 바이패스 를 사용하여 간섭하는 보안 에이전트를 비활성화하고 제거합니다.

 

공격의 해부학


고스트엔진의 핵심에는 다층적인 침투 방식이 있습니다. 이 프로세스는 "Tiworker.exe"라는 실행 파일을 실행하는 것으로 시작되며, 이 실행 파일은 다음을 트리거합니다.
PowerShell 스크립트. 이 스크립트는 정상 PNG 이미지("get.png")로 위장한 채로 명령 및 제어(C2) 서버 와 통신하여 추가 페이로드를 검색합니다. 다양한 모듈과 실행 파일을 포함한 이러한 페이로드는 HTTP 또는 FTP 기반 채널을 통해 감염된 호스트에 다운로드됩니다.


취약점 악용


GHOSTENGINE은
취약한 드라이버와 같은 취약한 드라이버(예: "aswArPot.sys" 및 "IObitUnlockers.sys"를 사용하여 설정된 PowerShell 보안 조치를 무력화합니다. 이러한 드라이버는 악성 프로세스의 원활한 실행을 용이하게 하여 악성 프로세스의 배포 및 지속성을 보장합니다. XMRig 채굴기의 배포 및 지속성을 보장합니다.

 

지속성 및 은폐


시스템 성능 저하
은 소프트웨어 충돌, 하드웨어 오작동 등 다양한 요인으로 인해 발생할 수 있습니다. 손상된 시스템 내에서 발판을 유지하기 위해 GHOSTENGINE은 몇 가지 전술을 사용합니다.

예약된 작업 는 악성 DLL을 일정한 간격으로 실행하기 위해 생성되어 악성 코드가 지속적으로 작동하도록 합니다. 또한 이 멀웨어는 이벤트 로그를 지우고 추가 파일을 다운로드하고 저장할 수 있는 충분한 디스크 공간을 확보하여 탐지 및 제거를 회피합니다.


시사점 및 완화 전략


고스트 엔진의
고스트 엔진의 출현 의 등장은 공격자들이 탐지를 회피하고 영향력을 극대화하기 위해 정교한 기술을 활용하는 사이버 위협의 진화하는 환경을 강조합니다. 이러한 위협을 완화하려면 정기적인 드라이버 업데이트 보안 프로토콜에 대한 정기적인 드라이버 업데이트, 강력한 엔드포인트 탐지 및 대응 솔루션 도입 등 사전 예방적 접근 방식이 필요합니다. 의심스러운 프로세스 모니터링 은 최신 사이버 보안 전략의 중요한 측면으로, 조직이 잠재적인 위협을 실시간으로 탐지하고 대응할 수 있도록 합니다.


BYOVD의 부상


고스트엔진은 다음과 같은 성장 추세를 잘 보여줍니다.
취약한 드라이버 가져오기(BYOVD) 공격이 증가하고 있으며, 국가가 후원하는 공격자와 금전적 동기를 가진 사이버 범죄자 모두 이를 선호합니다. 취약한 드라이버를 커널에 로드하여 권한 있는 작업을 수행하는 이 기법은 기존의 보안 조치에 상당한 도전을 제기합니다.


보안 격차 해소


점점 더 많은 조직이
EDR 솔루션 에 점점 더 의존하고 있습니다. Microsoft의 취약 드라이버 차단 목록과 같은 이니셔티브는 BYOVD 공격을 어느 정도 방어할 수 있지만, 사전 예방 조치가 필수적입니다. 보안 프로토콜을 정기적으로 업데이트하고 사용자들의 인식을 높이면 이러한 취약점으로 인한 위험을 완화할 수 있습니다.


결론


리소스 도용
은 기업에 심각한 위협이 되어 생산성과 수익성에 영향을 미칩니다. 고스트엔진의 등장은 사이버 공격자들의 위협이 끊임없이 존재하고 있음을 강조합니다. 조직이 점점 더 복잡해지는 디지털 환경을 탐색함에 따라 경계와 적응력, 특히 취약점 패치 가 가장 중요합니다. 악의적인 공격자들이 사용하는 전술을 이해하고 강력한 보안 조치를 구현함으로써 강력한 보안 조치를 구현함으로써 기업은 진화하는 위협에 맞서 디지털 자산을 보호하고 연속성을 보장할 수 있습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스삐 소리 나는 컴퓨터.

요약
고스트엔진 익스플로잇: 공격에 직면한 취약한 드라이버
기사 이름
고스트엔진 익스플로잇: 공격에 직면한 취약한 드라이버
설명
크립토재킹을 가능하게 하는 취약한 드라이버를 노리는 GHOSTENGINE 익스플로잇에 대해 알아보세요. 지금 바로 정보를 확인하고 시스템을 보호하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!