【翻译】隐形矿工:揭露GHOSTENGINE的加密挖矿业务
字数 5573 2025-08-22 12:22:59

GHOSTENGINE加密挖矿恶意软件分析与防御指南

概述

GHOSTENGINE是一个复杂的恶意软件入侵集(REF4578),主要目标是通过禁用安全解决方案(EDR)来部署持久性的门罗币(XMR)加密挖矿程序。该恶意软件由Elastic Security Labs发现,Antiy团队将其部分功能命名为HIDDENSHOVEL。

主要特点

  • 利用易受攻击的驱动程序(来自Avast和IObit)禁用EDR代理
  • 多阶段感染流程,包含多个恶意模块
  • 建立持久性机制确保长期驻留
  • 部署XMRig挖矿程序进行门罗币挖矿
  • 包含后门功能实现远程命令执行
  • 采用多种反检测和清除痕迹技术

感染流程分析

初始感染阶段

  1. 初始执行:通过伪装成合法Windows文件(如Tiworker.exe)的PE文件启动感染链
  2. PowerShell脚本下载:二进制文件执行硬编码PowerShell命令行以下载混淆脚本
  3. C2通信:脚本从攻击者C2服务器下载工具、模块和配置,使用HTTP为主协议,FTP为备用协议

清理阶段

  1. 清除先前感染:删除以下目录中的恶意文件:
    • C:\Program Files\Common Files\System\ado
    • C:\PROGRA~1\COMMON~1\System\ado\
  2. 删除计划任务:清除以下计划任务:
    • Microsoft Assist Job
    • System Help Center Job
    • SystemFlushDns
    • SystemFlashDnsSrv
  3. 禁用安全防护
    • 禁用Windows Defender
    • 启用远程服务
  4. 日志清除:清理以下Windows事件日志通道:
    • Application
    • Security
    • Setup
    • System
    • Forwarded Events
    • Microsoft-Windows-Diagnostics-Performance
    • Microsoft-Windows-AppModel-Runtime/Operational
    • Microsoft-Windows-Winlogon/Operational
  5. 磁盘清理
    • 清理临时目录:C:\Windows\Temp\, C:\Windows\Logs\, C:\$Recycle.Bin\, C:\windows\ZAM.krnl.trace
    • 若C盘空间不足,在其他卷(如C:\Windows\Fonts$RECYCLE.BIN\Fonts)创建文件夹

持久性建立

创建以下计划任务确保长期驻留:

  1. OneDriveCloudSync:每20分钟运行一次恶意服务DLL C:\Windows\System32\oci.dll
  2. DefaultBrowserUpdate:每60分钟下载并执行脚本C:\Users\Public\run.bat
  3. OneDriveCloudBackup:每40分钟执行一次C:\Windows\Fonts\smartsscreen.exe

模块下载与执行

恶意软件下载并执行多个模块:

路径 类型 描述
C:\Windows\System32\drivers\aswArPots.sys Kernel driver Avast的脆弱驱动程序
C:\Windows\System32\drivers\IObitUnlockers.sys Kernel driver IObit的脆弱驱动程序
C:\Windows\Fonts\curl.exe PE executable 用于通过cURL下载文件
C:\Windows\Fonts\smartsscreen.exe PE executable 核心负载(GHOSTENGINE)
C:\Windows\System32\oci.dll Service DLL 持久性/更新模块
backup.png Powershell script 后门模块
kill.png Powershell script 注入并执行终止安全传感器的PE文件

核心模块分析

EDR代理控制器和矿工模块(smartsscreen.exe)

  1. EDR进程终止

    • 扫描所有运行进程,与硬编码EDR代理列表比对
    • 使用Avast反rootkit驱动程序(aswArPots.sys)通过PID终止进程
    • 使用IObit易受攻击驱动程序(IObitUnlockers.sys)通过IOCTL 0x222124删除安全代理二进制文件

  2. 挖矿程序部署

    • 从C2服务器下载XMRig客户端,重命名为XMRig.smartscreen.exe
    • 执行XMRig及其驱动程序和配置文件,启动挖矿进程

更新/持久化模块(oci.dll)

  1. 架构支持:提供32位和64位版本
  2. 功能
    • 创建系统持久性
    • 从C2服务器下载并执行更新脚本
    • 每次服务启动时加载并生成PowerShell一行代码执行

EDR代理终止模块(kill.png)

  1. 注入技术
    • 将shellcode注入当前进程
    • 解密并将PE文件加载到内存中
  2. 持续扫描:不断扫描新进程,终止任何新出现的EDR代理

PowerShell后门模块(backup.png)

  1. 通信机制
    • 持续发送Base64编码的JSON对象,包含基于时间和计算机名的唯一ID
    • 示例:{"id":"171568624072626","host":"analysis"}
  2. 命令执行
    • 接收base64编码命令
    • 执行并将结果发送回C2服务器

挖矿配置分析

XMRig配置摘录:

{
  "autosave": false,
  "background": true,
  "colors": true,
  "donate-level": 0,
  "donate-over-proxy": 0,
  "pools": [
    {
      "algo": "rx/0",
      "coin": "monero",
      "url": "pool.supportxmr[.]com:443",
      "user": "468ED2Qcchk4shLbD8bhbC3qz2GFXqjAUWPY3VGbmSM2jfJw8JpSDDXP5xpkMAHG98FHLmgvSM6ZfUqa9gvArUWP59tEd3f",
      "keepalive": true,
      "tls": true,
      "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36",
      "verbose": 0,
      "watch": true,
      "pause-on-battery": false,
      "pause-on-active": false
    }
  ]
}

门罗币支付分析

  • 支付ID: 468ED2Qcchk4shLbD8bhbC3qz2GFXqjAUWPY3VGbmSM2jfJw8JpSDDXP5xpkMAHG98FHLmgvSM6ZfUqa9gvArUWP59tEd3f
  • 交易示例
    • 哈希: 7c106041de7cc4c86cb9412a43cb7fc0a6ad2c76cfdb0e03a8ef98dd9e744442
    • 金额: 0.1099 XMR (约14.86美元)
  • 总收益:2024年1月至3月期间约60.70美元

MITRE ATT&CK映射

战术 技术
Execution T1059.001: Command and Scripting Interpreter: PowerShell
T1059.003: Command and Scripting Interpreter: Windows Command Shell
Persistence T1053.005: Scheduled Task/Job: Scheduled Task
Defense Evasion T1070.001: Indicator Removal: Clear Windows Event Logs
T1036: Masquerading
T1055: Process Injection
Discovery T1057: Process Discovery
Command and Control T1041: Exfiltration Over C2 Channel
T1132.001: Data Encoding
Impact T1496: Resource Hijacking
T1489: Service Stop

检测与防御

检测指标

  1. 初始感染检测点

    • 可疑的PowerShell执行
    • 从异常目录(如Fonts目录)执行
    • 权限提升至系统完整性
    • 部署易受攻击驱动程序并建立内核模式服务

  2. 网络流量检测

    • DNS记录查找指向已知矿池域
    • HTTP/HTTPS(80/443端口)或Stratum协议(默认4444端口)的挖矿通信

  3. 行为检测规则

    • 通过脚本解释器生成的服务控制
    • 创建本地定时任务
    • 从异常目录执行进程
    • Svchost产卵Cmd
    • 不寻常的亲子关系
    • 清除Windows事件日志
    • Microsoft Windows Defender篡改
    • 通过丢失DLL的潜在权限升级
    • 通过不可信路径进行二进制伪装

预防措施

  1. 恶意文件防范
    • 阻止GHOSTENGINE相关文件执行
    • 防止Shellcode注入
  2. 漏洞驱动防护
    • 阻止Avast(Windows.VulnDriver.ArPot)和IObit(Windows.VulnDriver.IoBitUnlocker)脆弱驱动程序的创建和执行
  3. YARA规则
    • 使用Elastic Security提供的YARA规则检测相关恶意软件:
      • Windows木马GHOSTENGINE
      • Windows.VulnDriver.ArPot
      • Windows.VulnDriver.IoBitUnlocker

观测数据(IOCs)

文件哈希

SHA-256 文件路径 描述
2fe78941d74d35f721556697491a438bf3573094d7ac091b42e4f59ecbd25753 C:\Windows\Fonts\smartsscreen.exe GHOSTENGINE EDR控制器模块
4b5229b3250c8c08b98cb710d6c056144271de099a57ae09f5d2097fc41bd4f1 C:\Windows\System32\drivers\aswArPots.sys Avast脆弱驱动程序
2b33df9aff7cb99a782b252e8eb65ca49874a112986a1c49cd9971210597a8ae C:\Windows\System32\drivers\IObitUnlockers.sys Iobit脆弱驱动程序
3ced0552b9ecf3dfecd14cbcc3a0d246b10595d5048d7f0d4690e26ecccc1150 C:\Windows\System32\oci.dll 更新/持久化模块(64位)
3b2724f3350cb5f017db361bd7aae49a8dbc6faa7506de6a4b8992ef3fd9d7ab C:\Windows\System32\oci.dll 更新/持久化模块(32位)
35eb368c14ad25e3b1c58579ebaeae71bdd8ef7f9ccecfc00474aa066b32a03f C:\Windows\Fonts\taskhostw.exe 矿工客户端
786591953336594473d171e269c3617d7449876993b508daa9b96eedc12ea1ca C:\Windows\Fonts\config.json 矿工配置文件
11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5 C:\Windows\Fonts\WinRing0x64.sys 矿工驱动程序
aac7f8e174ba66d62620bd07613bac1947f996bb96b9627b42910a1db3d3e22b C:\ProgramData\Microsoft\DeviceSync\SystemSync\Tiworker.exe 初始加载器
6f3e913c93887a58e64da5070d96dc34d3265f456034446be89167584a0b347e backup.png GHOSTENGINE后门模块
7c242a08ee2dfd5da8a4c6bc86231985e2c26c7b9931ad0b3ea4723e49ceb1c1 get.png GHOSTENGINE加载器
cc4384510576131c126db3caca027c5d159d032d33ef90ef30db0daa2a0c4104 kill.png GHOSTENGINE EDR终止模块

C2基础设施

类型
域名 download.yrnvtklot[.]com
IPv4 111.90.158[.]40
域名 ftp.yrnvtklot[.]com
IPv4 93.95.225[.]137
域名 online.yrnvtklot[.]com

总结

GHOSTENGINE是一个高度复杂的加密挖矿恶意软件,采用多阶段感染流程,利用脆弱驱动程序禁用安全解决方案,并建立持久性机制确保长期驻留。组织应重点关注初始感染阶段的检测,特别是异常PowerShell执行、从非标准目录加载以及脆弱驱动程序的部署。通过监控提供的IOCs和实施推荐的防御措施,可以有效降低GHOSTENGINE带来的风险。

GHOSTENGINE加密挖矿恶意软件分析与防御指南 概述 GHOSTENGINE是一个复杂的恶意软件入侵集(REF4578),主要目标是通过禁用安全解决方案(EDR)来部署持久性的门罗币(XMR)加密挖矿程序。该恶意软件由Elastic Security Labs发现,Antiy团队将其部分功能命名为HIDDENSHOVEL。 主要特点 利用易受攻击的驱动程序(来自Avast和IObit)禁用EDR代理 多阶段感染流程,包含多个恶意模块 建立持久性机制确保长期驻留 部署XMRig挖矿程序进行门罗币挖矿 包含后门功能实现远程命令执行 采用多种反检测和清除痕迹技术 感染流程分析 初始感染阶段 初始执行 :通过伪装成合法Windows文件(如Tiworker.exe)的PE文件启动感染链 PowerShell脚本下载 :二进制文件执行硬编码PowerShell命令行以下载混淆脚本 C2通信 :脚本从攻击者C2服务器下载工具、模块和配置,使用HTTP为主协议,FTP为备用协议 清理阶段 清除先前感染 :删除以下目录中的恶意文件: C:\Program Files\Common Files\System\ado C:\PROGRA~1\COMMON~1\System\ado\ 删除计划任务 :清除以下计划任务: Microsoft Assist Job System Help Center Job SystemFlushDns SystemFlashDnsSrv 禁用安全防护 : 禁用Windows Defender 启用远程服务 日志清除 :清理以下Windows事件日志通道: Application Security Setup System Forwarded Events Microsoft-Windows-Diagnostics-Performance Microsoft-Windows-AppModel-Runtime/Operational Microsoft-Windows-Winlogon/Operational 磁盘清理 : 清理临时目录: C:\Windows\Temp\ , C:\Windows\Logs\ , C:\$Recycle.Bin\ , C:\windows\ZAM.krnl.trace 若C盘空间不足,在其他卷(如 C:\Windows\Fonts 或 $RECYCLE.BIN\Fonts )创建文件夹 持久性建立 创建以下计划任务确保长期驻留: OneDriveCloudSync :每20分钟运行一次恶意服务DLL C:\Windows\System32\oci.dll DefaultBrowserUpdate :每60分钟下载并执行脚本 C:\Users\Public\run.bat OneDriveCloudBackup :每40分钟执行一次 C:\Windows\Fonts\smartsscreen.exe 模块下载与执行 恶意软件下载并执行多个模块: | 路径 | 类型 | 描述 | |------|------|------| | C:\Windows\System32\drivers\aswArPots.sys | Kernel driver | Avast的脆弱驱动程序 | | C:\Windows\System32\drivers\IObitUnlockers.sys | Kernel driver | IObit的脆弱驱动程序 | | C:\Windows\Fonts\curl.exe | PE executable | 用于通过cURL下载文件 | | C:\Windows\Fonts\smartsscreen.exe | PE executable | 核心负载(GHOSTENGINE) | | C:\Windows\System32\oci.dll | Service DLL | 持久性/更新模块 | | backup.png | Powershell script | 后门模块 | | kill.png | Powershell script | 注入并执行终止安全传感器的PE文件 | 核心模块分析 EDR代理控制器和矿工模块(smartsscreen.exe) EDR进程终止 : 扫描所有运行进程,与硬编码EDR代理列表比对 使用Avast反rootkit驱动程序( aswArPots.sys )通过PID终止进程 使用IObit易受攻击驱动程序( IObitUnlockers.sys )通过IOCTL 0x222124 删除安全代理二进制文件 挖矿程序部署 : 从C2服务器下载XMRig客户端,重命名为 XMRig.smartscreen.exe 执行XMRig及其驱动程序和配置文件,启动挖矿进程 更新/持久化模块(oci.dll) 架构支持 :提供32位和64位版本 功能 : 创建系统持久性 从C2服务器下载并执行更新脚本 每次服务启动时加载并生成PowerShell一行代码执行 EDR代理终止模块(kill.png) 注入技术 : 将shellcode注入当前进程 解密并将PE文件加载到内存中 持续扫描 :不断扫描新进程,终止任何新出现的EDR代理 PowerShell后门模块(backup.png) 通信机制 : 持续发送Base64编码的JSON对象,包含基于时间和计算机名的唯一ID 示例: {"id":"171568624072626","host":"analysis"} 命令执行 : 接收base64编码命令 执行并将结果发送回C2服务器 挖矿配置分析 XMRig配置摘录: 门罗币支付分析 支付ID : 468ED2Qcchk4shLbD8bhbC3qz2GFXqjAUWPY3VGbmSM2jfJw8JpSDDXP5xpkMAHG98FHLmgvSM6ZfUqa9gvArUWP59tEd3f 交易示例 : 哈希: 7c106041de7cc4c86cb9412a43cb7fc0a6ad2c76cfdb0e03a8ef98dd9e744442 金额: 0.1099 XMR (约14.86美元) 总收益 :2024年1月至3月期间约60.70美元 MITRE ATT&CK映射 | 战术 | 技术 | |------|------| | Execution | T1059.001: Command and Scripting Interpreter: PowerShell T1059.003: Command and Scripting Interpreter: Windows Command Shell | | Persistence | T1053.005: Scheduled Task/Job: Scheduled Task | | Defense Evasion | T1070.001: Indicator Removal: Clear Windows Event Logs T1036: Masquerading T1055: Process Injection | | Discovery | T1057: Process Discovery | | Command and Control | T1041: Exfiltration Over C2 Channel T1132.001: Data Encoding | | Impact | T1496: Resource Hijacking T1489: Service Stop | 检测与防御 检测指标 初始感染检测点 : 可疑的PowerShell执行 从异常目录(如Fonts目录)执行 权限提升至系统完整性 部署易受攻击驱动程序并建立内核模式服务 网络流量检测 : DNS记录查找指向已知矿池域 HTTP/HTTPS(80/443端口)或Stratum协议(默认4444端口)的挖矿通信 行为检测规则 : 通过脚本解释器生成的服务控制 创建本地定时任务 从异常目录执行进程 Svchost产卵Cmd 不寻常的亲子关系 清除Windows事件日志 Microsoft Windows Defender篡改 通过丢失DLL的潜在权限升级 通过不可信路径进行二进制伪装 预防措施 恶意文件防范 : 阻止GHOSTENGINE相关文件执行 防止Shellcode注入 漏洞驱动防护 : 阻止Avast( Windows.VulnDriver.ArPot )和IObit( Windows.VulnDriver.IoBitUnlocker )脆弱驱动程序的创建和执行 YARA规则 : 使用Elastic Security提供的YARA规则检测相关恶意软件: Windows木马GHOSTENGINE Windows.VulnDriver.ArPot Windows.VulnDriver.IoBitUnlocker 观测数据(IOCs) 文件哈希 | SHA-256 | 文件路径 | 描述 | |---------|----------|------| | 2fe78941d74d35f721556697491a438bf3573094d7ac091b42e4f59ecbd25753 | C:\Windows\Fonts\smartsscreen.exe | GHOSTENGINE EDR控制器模块 | | 4b5229b3250c8c08b98cb710d6c056144271de099a57ae09f5d2097fc41bd4f1 | C:\Windows\System32\drivers\aswArPots.sys | Avast脆弱驱动程序 | | 2b33df9aff7cb99a782b252e8eb65ca49874a112986a1c49cd9971210597a8ae | C:\Windows\System32\drivers\IObitUnlockers.sys | Iobit脆弱驱动程序 | | 3ced0552b9ecf3dfecd14cbcc3a0d246b10595d5048d7f0d4690e26ecccc1150 | C:\Windows\System32\oci.dll | 更新/持久化模块(64位) | | 3b2724f3350cb5f017db361bd7aae49a8dbc6faa7506de6a4b8992ef3fd9d7ab | C:\Windows\System32\oci.dll | 更新/持久化模块(32位) | | 35eb368c14ad25e3b1c58579ebaeae71bdd8ef7f9ccecfc00474aa066b32a03f | C:\Windows\Fonts\taskhostw.exe | 矿工客户端 | | 786591953336594473d171e269c3617d7449876993b508daa9b96eedc12ea1ca | C:\Windows\Fonts\config.json | 矿工配置文件 | | 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5 | C:\Windows\Fonts\WinRing0x64.sys | 矿工驱动程序 | | aac7f8e174ba66d62620bd07613bac1947f996bb96b9627b42910a1db3d3e22b | C:\ProgramData\Microsoft\DeviceSync\SystemSync\Tiworker.exe | 初始加载器 | | 6f3e913c93887a58e64da5070d96dc34d3265f456034446be89167584a0b347e | backup.png | GHOSTENGINE后门模块 | | 7c242a08ee2dfd5da8a4c6bc86231985e2c26c7b9931ad0b3ea4723e49ceb1c1 | get.png | GHOSTENGINE加载器 | | cc4384510576131c126db3caca027c5d159d032d33ef90ef30db0daa2a0c4104 | kill.png | GHOSTENGINE EDR终止模块 | C2基础设施 | 类型 | 值 | |------|----| | 域名 | download.yrnvtklot[ . ]com | | IPv4 | 111.90.158[ . ]40 | | 域名 | ftp.yrnvtklot[ . ]com | | IPv4 | 93.95.225[ . ]137 | | 域名 | online.yrnvtklot[ . ]com | 总结 GHOSTENGINE是一个高度复杂的加密挖矿恶意软件,采用多阶段感染流程,利用脆弱驱动程序禁用安全解决方案,并建立持久性机制确保长期驻留。组织应重点关注初始感染阶段的检测,特别是异常PowerShell执行、从非标准目录加载以及脆弱驱动程序的部署。通过监控提供的IOCs和实施推荐的防御措施,可以有效降低GHOSTENGINE带来的风险。